趋势科技公司指出,被指和俄罗斯存在关联的 APT 组织 APT 28(又名Fancy Bear和 Pawn Storm)正在对中东国防企业发动邮件钓鱼攻击。Prevailion 公司发布报告称,俄罗斯威胁组织 TA505 正在攻击德国企业。趋势科技公司指出,去年5月份,APT28 组织开始攻击中东地区的国防企业。它通过凭证钓鱼手段,使用它已攻破的目标邮件账户,借已知的联系人向更多的目标发送钓鱼邮件。趋势科技公司表示,APT28发动的38%的攻击针对国防企业,其它主要包括银行、建筑公司和政府目标。该公司还表示,“令人惊奇的是,这一列表还包括法国和英国的几所私立学校甚至包括德国的一家幼儿园。”另外,趋势科技指出,APT28 正在执行对邮件服务器的端口扫描,包括TCP 端口443和1433上的微软 Exchange Autodiscover,寄望于找到易受攻击的机器进行利用并作为正在进行的攻击活动的中继站。趋势科技公司指出,APT28可能使用 VPN 试图隐藏踪迹,“Pwn Storm 常规使用商用 VPN 服务提供商的 OpenVPN 选项连接至发送垃圾信息的专用主机。这种专门的垃圾邮件发送u武器使用目标邮件服务器 SMTP 会话的 EHLO 命令中的域名。”趋势科技指出,如发现自己成为 APT 28 黑客组织的攻击目标,则需要留心基础设施的任何异常访问模式,修复系统并及时更新,同时告知员工不要点击不明邮件中的链接。另外,最近,各西方政府公开指责 APT 28攻击格鲁吉亚。
TA505 被称为 Evil Corp,因使用 Dridex 木马和 Locky 勒索软件而出名,不过它也正在使用其它恶意软件家族如 BackNet、Cobalt Strike、ServHelper、Bart 勒索软件、FlawedAmmyy、SDBbot RAT、DoppelPaymer 勒索软件等。TA505 此前被指和微软于上周端掉的 Necurs僵尸网络之间存在关联。今年早些时候,Prevailion 公司的研究员发现了通过虚假的工作申请邮件攻击德国企业,但这些攻击似乎始于2019年6月或更早。这些邮件附带的恶意附件旨在地区安全凭证和信用卡数据。虽然在2019年,TA505使用商用勒索软件加密受害者文件,但更近期的活动使用的是托管在用户 Google Drive 账户上的商用远程管理工具 NetSupport。通过使用很可能不会被传统安全软件删除的合法工具,攻击者能够执行一系列活动如窃取文件、抓捕屏幕甚至录制音频。分析认为攻击者使用木马版本简历攻击德国企业的人力资源部门。源邮件地址是通过 vodafonemail.de 创建的。虽然攻击活动看似针对的是德国企业,但研究人员认为适用于任何国家的目标受害者。
https://www.securityweek.com/russia-linked-cybercriminals-use-legitimate-tools-attacks-german-firms
https://www.theregister.co.uk/2020/03/19/apt28_middle_east/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。