圈小蛙
卡巴斯基的一份新报告称,黑客利用与中国威胁行为者相关的恶意工具攻击了数十台属于俄罗斯国家机构和科技公司的计算机,该黑客组织正在利用 Dropbox、GitHub、Quora 和 Yandex 等流行的云服务作为命令和控制 (C2) 服务器。
上个月底,俄罗斯网络安全公司卡巴斯基(Kaspersky)的研究人员发现了一项代号为“东风”(EastWind)的攻击活动,攻击者使用了“GrewApacha”远程访问木马(RAT)、一个未知的PlugY后门和更新版本的“CloudSorcerer”恶意软件,后者之前曾用于监视俄罗斯机构。
卡巴斯基的研究人员在调查通过带有恶意快捷方式附件的钓鱼电子邮件感染的设备时发现了这一攻击活动,并将其命名为“EastWind”。
卡巴斯基研究人员表示,GrewApacha RAT至少自2021年以来就被与中国有关的黑客组织APT31使用,而PlugY与疑似中国威胁行为者APT27使用的工具有许多相似之处。
据卡巴斯基介绍,黑客发送了包含恶意档案的钓鱼邮件。在攻击的第一阶段,他们利用Windows计算机中常见的动态链接库(DLL)来收集有关受感染设备的信息,并加载其他恶意工具。
虽然卡巴斯基没有明确将最近的攻击归咎于APT31或APT27,但他们强调了所使用工具之间的联系。
研究人员表示,尽管PlugY恶意软件仍在分析中,但它很可能是使用DRBControl后门代码开发的。该后门之前与APT27有关,与中国黑客常用的另一种后门工具PlugX恶意软件有相似之处。
研究人员称,APT27自2010年以来一直活跃,其攻击目标包括航空航天、政府、国防、技术、能源、制造和赌博等领域的组织。据称,2022年,它曾利用Log4j漏洞攻击了美国州议会立法机构。
今年7月份早些时候,英国政府曾指控与RedBravo组织有重叠的APT31入侵了其选举委员会的服务器,窃取了近4000万人的个人信息。年初,芬兰曾称APT31对其议会进行网络攻击。
据卡巴斯基称,PlugY是使用“CloudSorcerer”后门的更新版本部署的。该工具此前曾被用于窃取俄罗斯政府机构的数据。
研究人员将“CloudSorcerer”描述为“一种复杂的网络间谍工具”,它依靠“Yandex Cloud”和“Dropbox”等合法云服务进行隐形监控和数据收集。
它的更新变种使用了一个流行的俄罗斯博客平台“LiveJournal”和一个社交问答网站“Quora”作为初始命令和控制服务器。
7月初,网络安全公司Proofpoint的研究人员发现了一种与“CloudSorcerer”有许多相似之处的恶意工具,该工具被用于攻击一家美国组织。
卡巴斯基的研究人员表示,在“EastWind”攻击活动中,黑客使用了与Proofpoint在攻击美国组织时描述的类似的感染方法。
卡巴斯基发现植入程序通过 TCP 和 UDP 协议以及命名管道(一种用于进程间通信的 Windows 方法)与 Dropbox 托管的 C2 服务器进行通信。卡巴斯基表示:“该植入程序可以处理的命令集非常广泛,执行的命令范围从操作文件和执行 shell 命令到记录击键和监控屏幕或剪贴板。”