一个被称为APT28的俄罗斯黑客组织,在过去十年中针对北约、东欧及高加索地区的政府,系统的开展网络间谍活动,而现在他们又将目光转移到了苹果系统设备。
近年APT28组织异常活跃
最近在美国总统选举活动中的民主党委员会(DNC)网络攻击和信息泄露事件,让俄罗斯攻击威胁处于风口浪尖。
2016年6月在DNC电脑系统中曾发现APT28的渗透痕迹,其实早在过去,网络安全公司火眼曾把APT28与2007年检测到的一起攻击联系起来,该起攻击的目标是格鲁吉亚、波兰、匈牙利、土耳其和波罗的海各国,以及欧洲安全合作组织(OSCE)。而现在更有研究指出该组织一直将注意力转移到世界反兴奋剂(WADA)等西方政府或军事机构,而这次他们使用了新型木马Komplex来感染苹果系统设备。
在过去一些分析中认为APT28主要依赖3种不同的攻击途径来感染他们的目标:用恶意Word和Excel文档作为附件的钓鱼邮件,钓鱼网站,会导致Java和Flash 0-day漏洞的恶意iFrame代码。在过去的两年中出现了许多活跃的黑客组织,比如APT28、Sofacy、Pawn Storms、Fancy Bear以及Sednit等。
而在近期美国民主党委员会遭到网络攻击一事中,英国伦敦国王学院的教授Thomas Rid曾就此事件写了一篇最权威的文章,列出所有迹象和证据表明俄罗斯政府就是DNC网络攻击背后的黑手,而后经过调查,美国安全公司CrowdStrike已经确认,第一起攻击其网络的时间为2015年,第二个黑客组织于2016年发起攻击,而在这种就发现该组织痕迹。然而恶意软件Komplex是如何快速感染目标用户?其实方法也不是很复杂,主要是通过钓鱼邮件的方式,引诱不知情的用户感染木马病毒,伪装的信息一般是俄罗斯即将推出的太空计划或最新项目,而这些会有多少人不感兴趣,于是感染的用户越来越多。
PaloAlto研究中心的安全研究人员首先发现了该木马病毒,该中心的研究人员Ryan Olson称:
“苹果公司虽然为其系统(OSx)准备了完善的网络防御工作,但最重要的一点就是,无论人们使用什么样的操作系统,但还是被攻击的目标。”
钓鱼邮件中包含一个带有木马病毒的附件,该附件是一个可执行的加密文件,即PDF或脚本程序。当附件下载之后,用户点开,会出现一个PDF文档,而这个PDF文件一共有17页,文件名称是roskosmos_2015-2025.pdf,而一些不知情的用户也会认为自己打开的仅仅是一个PDF文件。Olson表示,有些人的心理就是会不假思索的打开PDF文件。
木马更具有针对性
在木马感染用户之后,会有更多文件下载到用户电脑,执行删除或复制文件,而后木马相关程序会保存到/tmp/content目录下。木马在系统中安装可执行文件之后,当系统启动,会检测本地杀软以及收集信息,然后会发送一个GET请求,同时检测当前网络状态。也就是说只有当互联网连接可用时,才会开始与C&C服务器通信,发送受感染用户主机相关详情。目前获取到的PDF文档上面显示的是,有关有2016-2025年俄罗斯航天计划的文件,但这次事件中没有直接证据说明俄罗斯支持该组织行动。
Olson在最后的分析中表示,Komplex开始的时候仅仅针对个人用户,但是现在正针对MacKeeper杀毒程序漏洞发起攻击。而根据最新的消息称,该木马也已经正在向多平台方向发展。
作者:饭团君
来源:51CTO
