APT28–欧洲、南美洲活动被揭发

2018年10月4日,赛门铁克发布报告称,APT28组织开展针对欧洲和南美洲政府和军事组织的网络间谍活动。

2017年和2018年APT28的目标组织包括:

  • 一个着名的国际组织
  • 欧洲的军事目标
  • 欧洲政府
  • 南美国家的政府
  • 属于东欧国家的大使馆

APT28研发的工具

APT28使用许多工具来破坏其目标。该组织的主要恶意软件是Sofacy,它有两个主要组件。Trojan.Sofacy(也称为Seduploader)在受感染的计算机上执行基本侦察,并可以下载更多恶意软件。Backdoor.SofacyX(也称为X-Agent)是第二阶段的恶意软件,能够窃取受感染计算机的信息。还存在Mac版本的木马(OSX.Sofacy)。

APT28在过去两年中继续开发其工具。例如,重写使用加密隧道维护对受感染网络访问的恶意软件Trojan.Shunnael(又名X-Tunnel)。

该组织还开始使用称为Lojax的UEFI(统一可扩展固件接口)rootkit。由于rootkit位于计算机的闪存中,因此即使更换了硬盘驱动器或重新安装了操作系统,它也允许攻击者在受感染的计算机上保持持久存在。Symantec产品阻止尝试使用检测名称Trojan.Lojax安装Lojax 。

疑似关联组织

另一个攻击组织Earworm(又名Zebrocy)自2016年5月以来一直活跃,参与了针对欧洲,中亚和东亚军事目标的情报搜集行动。该小组使用鱼叉式网络钓鱼电子邮件来破坏其目标并使用恶意软件感染它们。

Earworm使用两种恶意软件工具。Trojan.Zekapab是一个下载程序组件,能够执行基本的侦察功能并将其他恶意软件下载到受感染的计算机上。Backdoor.Zekapab安装在选定的受感染计算机上,能够截取屏幕截图,执行文件和命令,上载和下载文件,执行注册表和文件系统操作以及执行系统信息任务。为了记录键盘和密码捕获的目的,Earworm还偶尔在受感染的计算机上安装了额外的工具。

2016年,赛门铁克观察到Earworm使用的命令和控制(C&C)基础设施与Grizzly Steppe(美国政府代码名称为APT28及相关参与者)所使用的C&C基础设施之间存在重叠,这意味着Earworm与APT28之间存在潜在联系。但是,Earworm似乎也从APT28开展了单独的操作,因此赛门铁克将它们作为一个独特的组织进行跟踪。

IOCs

<Trojan.Sofacy (Seduploader)>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<Backdoor.SofacyX (X-Agent)>
001d65185910ae8cd9e7e2472745e593be62b98eae3f5f2266a29c37e56daa1d
1228e9066819f115e8b2a6c1b75352566a6a5dc002d9d36a8c5b47758c9f6a45
2bf9c38d01681b33c1a84e5de1a291288b658939975714c63a487bc050adf03f
2d11e8d81bf776d668355ed15a596193d4bb10a42289ddb3223c1227b042d854
57e96a1136510ac67ff8a3f3e06787f6e6c09da64c318e01b6653fac19b7894f
73ee9ceaae23f96d9a1bc7ebfc382066ca727efb94e5e8ab1ddc0369896c95f7
776780cab8371fea0d2103a8c284d3eff9271f4e16042c0734369f1c9e9d939d
82fc44696d1c5ddfdd5338fcafb6a9dcf7a0796235cd58184d05a2f388ed7e9e
a1c73ce193ffa5323aaef73fbabbc2a984e10900f09cf9fcb0cb11606a23c402
a20e0a3e11c2ac22ac70c52593658993f153d98b8acc89fd82d7c3e0a605e16e
e5d5a6fa74c229d81cb64781556b61ed0148c50c089ea638e7761bf97fe46d40
f97f2985ff599e073156e37cbd34024067680072ac18f9d2040c64eedbe38e4f

<Trojan.Shunnael (X-Agent)>
a37eda810ca92486bfb0e1f1b27adb7c9df57aafab686c000ae1d6ec5d6f6180
fc224a6cca956a59812a13e53ba08a279996ea2ee194fe20fb10170ca5c2db6a

发表评论

电子邮件地址不会被公开。 必填项已用*标注