據(jù)AT＆T Alien Labs的研究人員稱(chēng)，APT組織StrongPity近日已經(jīng)開(kāi)展了一項(xiàng)新的間諜軟件活動(dòng)，使用WinRAR和其他合法軟件包的惡意版本來(lái)感染目標(biāo)，很有可能是通過(guò)水坑攻擊的方式。截至2019年7月仍在進(jìn)行中。研究人員表示，該組織已經(jīng)重新配置了新的惡意軟件，以控制受損的機(jī)器。


根據(jù)AT＆T的分析，新的惡意軟件樣本在7月初首次被確定，此前尚未報(bào)道過(guò)。根據(jù)編譯時(shí)間、基礎(chǔ)設(shè)施建設(shè)和使用以及樣本的公開(kāi)分發(fā)，研究人員評(píng)估該活動(dòng)目前仍在成功進(jìn)行中。

根據(jù)該研究，現(xiàn)在針對(duì)土耳其用戶的新惡意軟件，使用了類(lèi)似于該組織標(biāo)志性的StrongPity / Prometheus代碼，具有完整的間諜軟件功能，可用于定位敏感文檔，同時(shí)為遠(yuǎn)程訪問(wèn)建立持久后門(mén)。

據(jù)研究顯示，作為最初的感染媒介，StrongPity正在部署WinBox路由器管理軟件的惡意版本、WinRAR免費(fèi)加密和文件壓縮實(shí)用程序。分析還發(fā)現(xiàn)該組織使用較新版本的WinRAR和一個(gè)名為Internet Download Manager（IDM）的工具來(lái)隱藏惡意軟件。研究人員表示，考慮到這些選擇，其攻擊目標(biāo)可能是技術(shù)型實(shí)體組織。


StrongPity隨著時(shí)間的推移而逐漸演變

StrongPity于2016年10月首次公開(kāi)報(bào)道，此前曾針對(duì)比利時(shí)和意大利的用戶發(fā)起攻擊，使用水坑攻擊部署惡意版本的WinRAR和TrueCrypt文件加密軟件?？ò退够芯咳藛T將該威脅組織描述為一個(gè)極具特色的APT組織，利用零日漏洞和模塊化攻擊工具來(lái)滲透設(shè)備并進(jìn)行間諜活動(dòng)。

隨后在2016年，微軟公司開(kāi)展了更多研究，發(fā)現(xiàn)該組織針對(duì)歐洲用戶進(jìn)行零日漏洞攻擊。2017年，ESET研究人員在兩個(gè)未命名的國(guó)家中確定了StrongPity變種，標(biāo)志著該組織進(jìn)攻手段的變化。

2018年3月StrongPity再次出現(xiàn)，當(dāng)時(shí)Citizen Lab報(bào)道了針對(duì)土耳其和敘利亞用戶的威脅活動(dòng)。研究人員表示，他們通過(guò)濫用TürkTelekom網(wǎng)絡(luò)中的Sandvine / Procera深度包檢測(cè)（DPI）硬件，進(jìn)行了ISP級(jí)別的APT攻擊。

針對(duì)本周Alien Labs的研究結(jié)果，Cylance研究員表示“隨著新信息的發(fā)布，惡意軟件繼續(xù)進(jìn)化”。


以上內(nèi)容由四川無(wú)國(guó)界(warmw001.com.cn) 整理編輯——專(zhuān)業(yè)從事網(wǎng)絡(luò)信息安全培訓(xùn)與IT風(fēng)險(xiǎn)管理咨詢服務(wù)。