返回新闻列表

网络间谍攻击组织Sofacy携最新的恶意工具卷土重来

       卡巴斯基实验室全球研究和分析团队发现Sofacy网络间谍组织发起了一轮最新的攻击。攻击过程中使用了多项升级的攻击技术,确保威胁不容易被清除,并且可以更好地隐藏自身在被攻击系统的恶意行为。

       Sofacy(又被称为“Fancy Bear”、“Sednit”、“STRONTIUM”或“APT28”)是一个至少从2008年就开始活跃的并且使用俄语的高级威胁组织。其攻击目标主要为全球的军事机构和政府机构。该攻击组织自从2014年进入公众视线后,一直没有停止其攻击行动。不仅如此,卡巴斯基实验室的安全专家还发现Sofacy在攻击中使用了最新的和更高级的工具。

新的工具:

  • 可互换:攻击者使用多个后门程序感染目标,其中包括多种不同的恶意工具。如果其中一款被安全解决方案拦截或杀掉,另一种恶意工具可以重新进行感染。
  • 模块化:攻击者使用了模块化恶意软件,将后门程序的一些功能放在不同的模块中,从而可以更好地在受攻击系统中隐藏自身的恶意行为。卡巴斯基实验室发现在针对性攻击中这种趋势很常见。
  • 可突破网闸:在近期(2015年)发生的很多次攻击中,Sofacy攻击组织利用最新版本的USB植入模块,从位于网闸中的计算机上拷贝数据。

弹性策略和数据窃取工具:如何工作

       2015年,在一轮新的攻击中,一家来自国防工业领域的组织被一种最新版的AZZY后门程序所攻击。这种后门程序主要被Sofacy攻击组织所使用,其目标是在受攻击计算机中立足,以便下载其它恶意工具。卡巴斯基实验室的安全产品成功拦截了这一恶意软件,看上去似乎没有其它问题了。但是,后来发生的事情却非常不寻常:卡巴斯基实验室产品拦截这一木马后一小时,我们发现攻击者编译了一种最新版本的后门程序,并将其下载到被攻击计算机。这一版本的后门程序能够躲避常规反病毒技术的检测,但是仍然能够被动态的主机入侵防御系统(HIPS)所检测到。

       这种可快速复发的Sofacy攻击引起了卡巴斯基实验室安全专家的注意,并对其进行深入调查。很快,他们就发现这种最新版的后门程序并不是通过零日漏洞(Sofacy攻击组织经常使用零日漏洞进行攻击)下载到计算机上的,而是通过另一种被植入受感染计算机上的恶意对象进行下载的。卡巴斯基实验室在进一步调查后发现了该恶意对象(被其作者命名为“msdeltemp.dll”).

       “msdeltemp.dll”木马是一种下载器工具,能够让攻击者将命令发送到受感染计算机并接收来自计算机的数据。改木马还能够用来上传一种更为复杂的木马到受感染系统。如果次要的后门程序被反病毒产品所拦截,攻击者仍然可以使用msdeltemp.dll木马从命令和控制服务器下载最新版本的恶意软件,重新将其安装到受攻击计算机上。

       这是一个典型的利用多个后门程序保持攻击弹性的例子。这种攻击策略并非首创,Sofacy之前也一直在使用这种攻击手段。但是,在之前的攻击中,他们会使用释放器安装两种后门程序,分别为SPLM和AZZY。如果其中一款被检测出来,另外一款仍然可以让攻击者访问到受感染计算机。而在最新的攻击中,网络罪犯的攻击策略有所改变:他们现在会下载一个重新编译的新版本AZZY,替代被拦截的恶意程序,无需重新进行初始感染过程。

       此外,将命令和控制服务器通讯功能同主要的后门程序分离,还可以增强主要后门程序的隐蔽性。由于它不会直接将数据传输出去,所以从安全角度看,可疑程度比较低。

       除了更改弹性策略外,卡巴斯基实验室专家还检测到多个最新版本的Sofacy USB窃取程序模块,用户可从网闸网络中窃取数据。USB窃取程序模块能够监控可移动存储媒介,按照攻击者预设的规则,从这些设备上拷贝文件。窃取到的数据被拷贝到一个隐藏目录中,之后攻击者可以利用AZZY植入将数据传输出去。

       首个版本的新一代USB窃取程序模块可追溯到2015年2月,而且这种模块似乎是专门为攻击重要目标而开发的。

       “当有人发布针对某个网络间谍攻击组织的研究结果后,该攻击组织通常会有两种反应:一种是停止自己的攻击行为,另一种是改变自己的攻击策略。对于Sofacy,情况并非如此。我们早在几年前就发现了该攻击组织所发动的攻击,安全社区对他们的攻击行为也进行过多次报道。2015年, Sofacy发动的攻击显著增加,部署了不少于5个零日漏洞,使得其成为网络犯罪领域最为多产和灵活的攻击组织之一。我们有理由相信其发动的攻击仍将继续,”卡巴斯基实验室全球研究和分析团队总监Costin Raiu说。

保护策略

       卡巴斯基实验室的安全产品检测出Sofacy攻击者所使用的一些最新恶意软件样本,其被检测出的名称分别为:Trojan.Win32.Sofacy.al、Trojan.Win32.Sofacy.be、Trojan.Win32.Sofacy.bf、Trojan.Win32.Sofacy.bg、Trojan.Win32.Sofacy.bi、Trojan.Win32.Sofacy.bj、Trojan.Win64.Sofacy.q、Trojan.Win64.Sofacy.s和HEUR:Trojan.Win32.Generic。

       要保护自己的组织抵御这种复杂的针对性攻击,包括Sofacy攻击,卡巴斯基实验室建议采取多层级保护,整合以下安全技术和保护手段:

  • 传统的反恶意软件技术
  • 补丁管理
  • 主机入侵检测
  • 白名单技术和默认拒绝策略

       要了解更多关于卡巴斯基实验室产品如何抵御Sofacy攻击的详情,请浏览我们的企业博客

       要了解更多关于Sofacy攻击组织详情,请访问Securelist.com.

       卡巴斯基情报服务的客户可以获取更多关于Sofacy攻击组织的详情。请联系:intelreports@kaspersky.com

       关于卡巴斯基实验室发现的使用俄语的网络间谍攻击行动详情,请点击这里

       卡巴斯基实验室对2016年APT领域的预测,请访问这里

       要了解针对性攻击是如何被发现和调查的,请点击:http://www.youtube.com/watch?v=FzPYGRO9LsA