俄罗斯黑客被指攻击本国的工业组织机构
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
卡巴斯基公司在本周四发布报告称,一个此前未知的讲俄语的黑客组织发动高针对性的间谍活动,攻击多家俄罗斯工业组织机构。
卡巴斯基公司表示,该黑客组织的工具集是 MT3,因此它被命名为 MontysThree。
虽然MontysThree 至少活跃于2018年,但研究人员并非发现它和其它已知的APT 组织之间存在任何关联。
卡巴斯基全球研究和分析团队的资深安全研究员 Denis Legezo 表示,黑客仅攻击工业实体的 IT网络,目前尚未发现工业控制系统 (ICS)遭到攻击。
研究人员表示,MontysThree 依赖的是具有四个模块的恶意软件。其中一个模块具有加载器功能,负责交付主 payload。该加载器隐藏在引用联系列表、医疗测试结果或技术文档的自提取 RAR 文档中,目的是说服这些组织机构的员工下载该文件。
该加载器通过隐写术躲避检测,而主 payload隐藏在 bitmap 镜像文件中。该主 payload 通过加密机制躲避检测并保护 C&C通信的安全。
该恶意软件可使攻击者窃取微软 Office和 PDF 文档、截屏并收集受陷机器上的信息,以便帮助黑客判断是否是感兴趣的目标。被盗信息托管在谷歌、微软和 Dropbox的公共云服务中,使得攻击者难以被检测到。
从黑客所使用的诱饵、恶意软件中的语言使用、以及它仅针对配置使用 Cyrillic脚本的 Windows 设备来看,研究人员认为 MontysThree 组织的成员讲俄语且攻击目标是俄罗斯实体。
报告指出,“某些样本中含有用于和公开云服务通信的账户详情,它们假装来自中国。从所有之前所提到的 Cyrilic工件来看,我们认为这些账户名称是伪棋。我们还从该恶意软件的英语日志信息字符串中发现了一些语法错误。”
研究人员表示,MontysThree 虽然不如之前见到的其它组织复杂,但仍然不应被忽视,“恶意软件的某些工件(同时登录 RAM和文件、在同一个文件中放置密钥、在远程 RDP主机上运行不可见的浏览器)从恶意软件开发角度来看并不成熟且是业余水平。从另外一方面讲,在 MontysThree中投入的代码和精力是巨大的。工具集展示了一定的技术决策:按照 RSA加密算法存储 3DES 密钥、通过自定义隐写术避免 IDS、以及通过合法的云存储提供商隐藏 C2 流量。”
完整报告请见:
https://securelist.com/montysthree-industrial-espionage/98972/
推荐阅读
黑客利用 VPN 漏洞远程入侵工控系统
我从1组工控系统蜜罐中捞了4个 0day exploits
原文链接
https://www.securityweek.com/russia-linked-hackers-targeting-russian-industrial-organizations
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~
俄罗斯黑客被指攻击本国的工业组织机构相关推荐
- 黑客购买恶意软件攻击航空航天和交通行业,潜伏5年+
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 多年来,一名技术并不高的黑客一直利用现成可用恶意软件,攻击航空航天和其它敏感行业中企业.Proofpoint 公司将该攻击者命名为 " ...
- 朝鲜黑客被指从黑市购买Oracle Solaris 0day,入侵企业网络
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 火眼(FireEye) 旗下的调查公司 Mandiant 发布报告称,朝鲜黑客组织 UNC1945 利用 Oracle Solaris ...
- 俄罗斯黑客在国际黑客圈中地位如何?
在国际黑客圈中,俄罗斯黑客享有很高的地位,他们被认为是全球最具技术水平的黑客之一. 俄罗斯黑客团伙的行动范围广泛,包括从个人电脑和网络到大型政府和商业系统的攻击.他们的攻击手段多种多样,包括社交工程. ...
- 俄罗斯国家黑客TA505被指攻击金融机构
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 MirrorBlast 公司指出,和俄罗斯存在关联的威胁组织 TA505 使用一个轻量级 Office 文档向位于多个地点的金融机构传播恶意软件 ...
- 俄罗斯网络间谍被指攻击斯洛伐克政府长达数月
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 斯洛伐克的两家安全公司 ESET 和 IstroSec 本周表示,和俄罗斯情报部门存在关联的俄罗斯网络间谍组织数月以来一直在攻击斯洛伐克政府. ...
- 俄罗斯国家黑客被指在2017年攻陷荷兰警方系统
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 荷兰报纸<民众报> (Volkskrant) 在调查 MH-17 飞机失事事故时从多个消息来源处获悉,为俄罗斯情报服务机构效力 ...
- 朝鲜国家黑客被指利用 LinkedIn 攻击欧洲航空公司和军队企业
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 ESET 公司在虚拟世界安全大会上指出,臭名昭著的朝鲜国家黑客组织 Lazarus Group 利用 LinkedIn 攻击欧洲航空航 ...
- 朝鲜国家黑客组织Lazarus 被指攻击IT供应链
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- _报告指出:黑客已将攻击的目标逐渐迁移到 Linux 服务器和工作站上
根据卡巴斯基公布的最新报告, 黑客已经将攻击的目标逐渐迁移到 Linux 服务器和工作站上 .虽然 Windows 系统一直是黑客的攻击目标,但是高级持久性威胁(APTs)现在已经成为 Linux 世 ...
最新文章
- php mongodb execute,php简单操作mongodb
- pandas编写自定义函数计算多个数据列的加和(sum)、使用groupby函数和apply函数聚合计算分组内多个数据列的加和
- UIPickerView
- Java数组常见操作
- ES6箭头函数中的this指向
- mysql8.0.11 zip安装教程
- javadoc - Java API 文档生成器(Windows版本)
- 计算机虚拟现实技术论文好写吗,虚拟现实技术的论文
- 上海火灾暴露灾难教育缺失
- C#LeetCode刷题之#599-两个列表的最小索引总和​​​​​​​​​​​​​​(Minimum Index Sum of Two Lists)
- 测试进阶必备,这5款http接口自动化测试工具真的很香
- mac sz rz file tras
- Servlet共享数据域cookie、session ;监听器;过滤器
- 如何解决移动硬盘弹出后还在转的问题
- vue 父组件与子组件直接的相互传值(愚见)
- 学习关于Bootstrap的感悟和体会
- android开发论坛!关于Android开发的面试经验总结,含爱奇艺,小米,腾讯,阿里
- 线性子空间和仿射子空间
- 在c语言程序设计中函数有两种类型 和,在C语言程序设计中函数有两种类型:__________和__________...
- QT初尝试之熄灯游戏