<dl id="wqg5j"></dl>

    1. <menuitem id="wqg5j"></menuitem>

      <dl id="wqg5j"><font id="wqg5j"></font></dl>
    2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
    3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
      <li id="wqg5j"><ins id="wqg5j"></ins></li>
      安基網 首頁 資訊 安全報 查看內容

      APT28干回“老本行”,針對多個國家的軍事、政府進行情報收集

      2018-10-9 10:42| 投稿: lofor |來自: 互聯網


      免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

      摘要: 賽門鐵克安全響應團隊在上周發表的一篇博文中指出,因涉嫌參與干預2016年美國總統大選而名聲大噪的黑客組織APT28似乎已經將其攻擊活動重心重新轉移到了網絡間諜活動。根據美國國土安全部(DHS)和聯邦調查局(FBI) ...

      賽門鐵克安全響應團隊在上周發表的一篇博文中指出,因涉嫌參與干預2016年美國總統大選而名聲大噪的黑客組織APT28似乎已經將其攻擊活動重心重新轉移到了網絡間諜活動。

      根據美國國土安全部(DHS)和聯邦調查局(FBI)的說法,APT28組織與俄羅斯政府存在關聯。該組織在2017年至2018年期間重新回到了他們的情報收集行動,目標是歐洲和南美的軍事、政府組織。

      APT28的歷史罪行

      APT28,也被稱為Fancy Bear、Pawn Storm、Sofacy Group、Sednit和STRONTIUM,至少自2007年起就已經開始專注于從全球多個國家的政府、軍隊和安全機構竊取有利于俄羅斯政府的內幕消息。如上所述,APT28也被懷疑是一個得到國家政府支持的黑客組織,據說是俄羅斯軍事情報機構GRU(General Staff Main Intelligence Directorate)的一個下屬部門。

      該組織曾被指從2016年春天開始向包括美國民主黨全國委員會(DNC)成員在內的政治目標發送了魚叉式網絡釣魚電子郵件,旨在誘使收件人通過一個虛假頁面更改他們的電子郵箱登錄密碼。很顯然,APT28的目的是竊取這些目標人物的密碼,然后安裝惡意軟件以及竊取信息。

      在同一年,該組織還公開承認入侵了世界反興奮劑機構(WADA),并在一個名為“Fancy Bears”網站上公布了眾多國際運動員的私人醫療記錄。類似的攻擊事件發生在2017年4月,國際田聯協會( IAAF )表示,APT28入侵了其服務器并竊取了大量運動員私人醫療記錄。

      同樣是在2017年,APT28還被指試圖干預法國總統大選——針對法國大選首輪勝出者馬克龍發動攻擊。釣魚電子郵件的附件文檔中包含了兩個0day漏洞的利用代碼:一個是Word遠程代碼執行漏洞(CVE-2017-0262),另外一個是Windows中的本地權限升級漏洞 (CVE-2017-0263),該組織的目的是試圖利用這兩個漏洞來下載其常用的偵察工具Seduploader。

      重回情報收集行動

      在2016年獲得了前所未有的關注之后,APT28在2017年和2018年仍在繼續其網絡攻擊活動。不過,自2017年初以來,該組織的活動開始變得十分隱秘,這似乎主要因為他們重新回到了情報收集行動的原因。

      根據賽門鐵克的說法,APT28在2017年至2018年期間的目標組織包括:

      • 一個知名的國際組織
      • 歐洲的軍事組織
      • 歐洲的政府組織
      • 南美國家的政府組織
      • 位于東歐國家的大使館

      正在開發的工具

      APT28使用了許多工具來攻擊其目標,其中最常用的惡意軟件是Sofacy,它包含兩個主要的組件:Trojan.Sofacy(也被稱為Seduploader),用于在受感染計算機上執行最基本的偵察任務,且可以下載其他的惡意軟件;Backdoor.SofacyX(也被稱為X-Agent),是第二階段的惡意軟件,能夠從受感染計算機上竊取信息。此外,這里還有一個Mac版本的木馬(OSX.Sofacy)。

      在過去兩年里,APT28一直在持續開發新的工具。例如,Trojan.Shunnael(又名X-Tunnel),它能夠通過加密的隧道來保持對受感染網絡的訪問。

      除此之外,正如世界知名電腦安全軟件公司ESET所報道的那樣,APT28還開始了對一種名為“Lojax”的UEFI(統一可擴展固件接口)rootkit的使用,目標是巴爾干以及歐洲中東部的多個政府組織。由于這個rootkit駐留在計算機的SPI閃存中,因此即使重裝系統、更換硬盤也無法清除它。

      持續存在的威脅

      很明顯,APT28不僅沒有因為被指參與干預2016年美國總統大選所引起的公眾關注而嚇倒,而且仍在開發新的工具以及使用舊的工具發動更多的襲擊。

      在2016年之后,該組織似乎再次重新回到了他們的“老本行”,對一系列目標展開了情報收集行動。這些正在進行的活動以及不斷完善的黑客工具都表明,該組織可能會繼續對國家目標構成重大威脅。

       

      本文由 黑客視界 綜合網絡整理,圖片源自網絡;轉載請注明“轉自黑客視界”,并附上鏈接。


      Tag標簽:

      小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

      本文出自:https://www.hackeye.net/threatintelligence/16613.aspx

      免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


      鮮花

      握手

      雷人

      路過

      雞蛋

      相關閱讀

      最新評論

       最新
      返回頂部
      玄机图
      <dl id="wqg5j"></dl>

        1. <menuitem id="wqg5j"></menuitem>

          <dl id="wqg5j"><font id="wqg5j"></font></dl>
        2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
        3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
          <li id="wqg5j"><ins id="wqg5j"></ins></li>
          <dl id="wqg5j"></dl>

            1. <menuitem id="wqg5j"></menuitem>

              <dl id="wqg5j"><font id="wqg5j"></font></dl>
            2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
            3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
              <li id="wqg5j"><ins id="wqg5j"></ins></li>