攻击苹果用户,黑客组织APT28这次用了新招

简介:

一个被称为APT28的俄罗斯黑客组织,在过去十年中针对北约、东欧及高加索地区的政府,系统的开展网络间谍活动,而现在他们又将目光转移到了苹果系统设备。

近年APT28组织异常活跃

最近在美国总统选举活动中的民主党委员会(DNC)网络攻击和信息泄露事件,让俄罗斯攻击威胁处于风口浪尖。

2016年6月在DNC电脑系统中曾发现APT28的渗透痕迹,其实早在过去,网络安全公司火眼曾把APT28与2007年检测到的一起攻击联系起来,该起攻击的目标是格鲁吉亚、波兰、匈牙利、土耳其和波罗的海各国,以及欧洲安全合作组织(OSCE)。而现在更有研究指出该组织一直将注意力转移到世界反兴奋剂(WADA)等西方政府或军事机构,而这次他们使用了新型木马Komplex来感染苹果系统设备。

在过去一些分析中认为APT28主要依赖3种不同的攻击途径来感染他们的目标:用恶意Word和Excel文档作为附件的钓鱼邮件,钓鱼网站,会导致Java和Flash 0-day漏洞的恶意iFrame代码。在过去的两年中出现了许多活跃的黑客组织,比如APT28、Sofacy、Pawn Storms、Fancy Bear以及Sednit等。

而在近期美国民主党委员会遭到网络攻击一事中,英国伦敦国王学院的教授Thomas Rid曾就此事件写了一篇最权威的文章,列出所有迹象和证据表明俄罗斯政府就是DNC网络攻击背后的黑手,而后经过调查,美国安全公司CrowdStrike已经确认,第一起攻击其网络的时间为2015年,第二个黑客组织于2016年发起攻击,而在这种就发现该组织痕迹。然而恶意软件Komplex是如何快速感染目标用户?其实方法也不是很复杂,主要是通过钓鱼邮件的方式,引诱不知情的用户感染木马病毒,伪装的信息一般是俄罗斯即将推出的太空计划或最新项目,而这些会有多少人不感兴趣,于是感染的用户越来越多。

PaloAlto研究中心的安全研究人员首先发现了该木马病毒,该中心的研究人员Ryan Olson称:

“苹果公司虽然为其系统(OSx)准备了完善的网络防御工作,但最重要的一点就是,无论人们使用什么样的操作系统,但还是被攻击的目标。”

钓鱼邮件中包含一个带有木马病毒的附件,该附件是一个可执行的加密文件,即PDF或脚本程序。当附件下载之后,用户点开,会出现一个PDF文档,而这个PDF文件一共有17页,文件名称是roskosmos_2015-2025.pdf,而一些不知情的用户也会认为自己打开的仅仅是一个PDF文件。Olson表示,有些人的心理就是会不假思索的打开PDF文件。

木马更具有针对性

在木马感染用户之后,会有更多文件下载到用户电脑,执行删除或复制文件,而后木马相关程序会保存到/tmp/content目录下。木马在系统中安装可执行文件之后,当系统启动,会检测本地杀软以及收集信息,然后会发送一个GET请求,同时检测当前网络状态。也就是说只有当互联网连接可用时,才会开始与C&C服务器通信,发送受感染用户主机相关详情。目前获取到的PDF文档上面显示的是,有关有2016-2025年俄罗斯航天计划的文件,但这次事件中没有直接证据说明俄罗斯支持该组织行动。

Olson在最后的分析中表示,Komplex开始的时候仅仅针对个人用户,但是现在正针对MacKeeper杀毒程序漏洞发起攻击。而根据最新的消息称,该木马也已经正在向多平台方向发展。


作者:饭团君

来源:51CTO

相关文章
|
缓存 安全 JavaScript
Kimsuky APT组织使用新型的AppleSeed Android组件伪装成安全软件对韩特定目标进行攻击
我们判断该组织已经具有了Windows,MacOs,Android的攻击能力,并且将在未来的一段时期持续的活跃。
|
Web App开发 安全 数据安全/隐私保护
McAfee:黑客借"极光漏洞"获取企业源代码
在周三的RSA 2010大会发言中,McAfee的研究人员表示,以获取企业源代码为目的的网络犯罪正在盛行,而企业对此方面的保护略显不足。 在RSA 2010上,McAfee展示了一个分析报告,关于对Perforce公司(一个做住房产权软件的公司)的调查。
887 0
|
安全
俄罗斯黑客组织APT 29对挪威政府发动网络攻击,目的不是干预大选
本文讲的是俄罗斯黑客组织APT 29对挪威政府发动网络攻击,目的不是干预大选,近日,挪威外交部、情报部、国家辐射防护局、工党议会以及一所学校受到了俄罗斯黑客组织APT 29的网络钓鱼攻击。挪威官方称尚未有敏感数据泄露。
1419 0
|
存储 安全 数据安全/隐私保护
深度剖析俄罗斯黑客组织APT29的后门
本文讲的是深度剖析俄罗斯黑客组织APT29的后门,POSTSPY最大程度的利用了内置于Windows系统中的特性来设置隐蔽的后门,这些特性被称为“living off the land”
2583 0