CSE恶意软件ZLab – 罗马假日行动 – 狩猎俄罗斯APT28

  • A+
所属分类:网络安全新闻

CSE恶意软件ZLab - 罗马假日行动 - 狩猎俄罗斯APT28

来自CSE Cybsec的Z-Lab的研究人员分析了一系列新的恶意软件,据称这是APT28小组开展的一项新的间谍活动的一部分。

对于来自CSE Cybsec的Z-Lab的研究人员来说,这是一个漫长的周末,完成了分析,许多有效载荷是俄罗斯APT28集团(又名 Fancy Bear, Pawn Storm, Sednit,Sofacy,和 锶)。

上一次专家将正在进行的活动归功于APT28是在6月,当时来自Palo Alto Networks的专家注意到该组织在最近的一系列攻击中使用了新工具。

Palo Alto Networks解释说,APT集团已将注意力从 北约成员国 和乌克兰转移到中东和中亚。

研究人员观察了2017年第二季度和第四季度之间利用SPLM和Zebrocy工具对亚洲组织进行的几次攻击。目标国家名单包括中国,蒙古,韩国和马来西亚。

在进行普通威胁情报活动时,CSE Cybsec的Z-Lab专家最近发现了一系列新的恶意软件样本,这些样本已提交给主要的在线沙箱。

特别是,他们注意到一些专家向俄罗斯APT28小组提交了一份提交给Virus Total的恶意软件样本。

该APT28组 至少自2007年一直活跃,并有针对性世界各国政府,军队和安全机构。该小组还参与了针对2016年总统选举的一系列攻击。

在与Twitter手柄上线的研究人员的帮助下,来自Z-Lab的Drunk Binary(@DrunkBinary)研究人员获得了一系列样本,以与在VirusTotal平台上上传的样本进行比较。

分析显示,它是臭名昭着的APT28后门的新变种,被追踪为X-Agent,特别是6月份出现在野外的新Windows版本,

攻击分析CSE Cybsec处于多阶段,专家发现用Delphi编程语言编写的初始滴管恶意软件(APT28组在其他活动中使用的语言)从Internet下载第二阶段有效负载并执行它。

有效负载使用HTTPS协议与服务器通信,因此无法窃听其生成的恶意流量。

专家们还分析了另一个恶意DLL,它显然与以前的样本无关,与俄罗斯APT小组的其他有效载荷有许多相似之处。

这个恶意软件立即引起了专家的注意,因为它与名为“ marina-info.net ”的C2联系,明确提到意大利军事公司Marina Militare。这使他们相信恶意代码是针对意大利Marina Militare或与之相关的其他实体的针对性攻击的一部分而开发的。

最后一个DLL似乎与以前的样本完全没有关联,但进一步的调查使专家们相信它是APT28在此活动中用来破坏目标系统的一个额外组件。

APT28拥有丰富的库,由大量模块化恶意软件组成,dll是Z-Lab解析的X-Agent的组件。

X-Agent是注入受害计算机的持久有效负载,可以为几乎任何操作系统编译,并且可以通过添加为特定网络攻击开发的新ad-hoc组件来增强。

在这种情况下,在新广告系列正在进行时,该组件已提交到在线沙箱。专家们不能排除APT小组开发后门以针对特定组织,包括意大利Marina Militare或任何其他分包商。在他们的分析中,专家们无法将恶意dll文件直接连接到X-Agent样本,但是他们认为它们都是由Z-Lab跟踪的APT28驱动的协调良好的手术攻击的一部分,因为它是罗马假日夏季有针对性的意大利组织。

连接到“marina-info.net”的dll可能是仅在特定情况发生时触发的最后阶段 - 恶意软件,例如,当恶意软件感染具有属于特定范围的IP地址的系统时。

有关CSE Cybsec分析的恶意软件样本的更多详细信息,包括IoC和Yara规则,可在ZLAb的研究人员发布的报告中找到。

  • CE安全网微信群
  • weinxin
  • CE安全网QQ群
  • weinxin
CE安全网

发表评论

您必须登录才能发表评论!