StrongPity APT:不畏曝光,一心迭代,攻城掠地
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
思科 Talos 团队和 Bitdefender公司分别发布报告指出,APT 组织 StrongPity(又称 Promethium)又对叙利亚库尔德族地区和土耳其发动水坑式攻击,实现监控和情报收集目的。
Bitdefender 公司在报告中指出,StrongPity APT 组织利用新技术控制受陷机器,“该 APT 组织通过水坑式攻击选择性地感染受害者并部署三层 C&C 基础设施,阻挠取证调查,并使用木马化的流行工具如文档、文件恢复应用程序、远程连接应用程序、工具甚至是安全软件广泛涵盖目标受害者可能的去处。”
Bitdefender 公司表示,攻击活动中使用的恶意软件样本的时间戳和土耳其于去年10月在叙利亚东北地区发动“和平之春行动”中使用的恶意软件一致。
利用污染的安装程序释放恶意软件
StrongPity APT 组织首次公开现身于2016年10月,但实际上早在2012年就已经活跃。2016年10月,该组织发动水坑式攻击向比利时和意大利用户传播恶意版本的 WinRAR 和 TrueCrypt 文件加密软件。
之后,StrongPity APT 组织被指在2018年滥用土耳其电信公司网络将位于土耳其和叙利亚的数百名用户重定向至恶意软件版本。这样,当目标用户试图从官方网站下载合法应用时,攻击者就会通过水坑式攻击或 HTTP 重定向攻陷系统。
去年7月份,AT&T Alien Labs 发现一款新型间谍软件活动利用木马化的 WinBox 路由器管理软件和 WinRAR 文档安装 StrongPity 并和攻击者的基础设施通信。
Bitdefender 公司发现的这种新型攻击方法仍然不变:通过利用本地化软件集合体和共享器上托管的遭篡改的安装程序(包括 McAfee Security Scan Plus、Recuva、TeamViewer、WhatsApp和Piriform CCleaner)使用预定义 IP 列表发动攻击。
研究人员表示,“耐人寻味的是,所有与受污染应用程序有关的文件都是在周一至周五的正常上班时间(UTC 时间早九晚六)编译的。这更加印证了 StrongPity 组织是受资助且有组织的开发团队,他们有偿开发某些项目。”
下载并执行恶意软件释放器后,就会安装后门,从而和命令和控制服务器建立通信,以便提取文档并检索将被执行的命令。
攻击者还会在受害者机器上部署“文件搜索器”组件,循环遍历每个驱动器并从中查找具有特定扩展名的文件(例如 Microsoft Office 文档)并以 ZIP 文档形式提取。该 ZIP 文件之后被拆分为多个隐藏的 “.sft” 加密文件,并被发送至 C&C 服务器,并最终从磁盘删除以隐藏提取痕迹。
受攻击的不止叙利亚和土耳其
攻击者虽然再次攻击叙利亚和土耳其,但这两个国家并非唯一目标,他们利用恶意版本的 Firefox、VPNpro、DriverPack 和 5kPlayer 还攻击位于哥伦比亚、印度、加拿大和越南的受害者。
思科 Talos 团队的研究人员将该 APT 组织使用的恶意软件命名为 “StrongPity3”,它使用名为 “winprint32.exe” 模块搜索文档并传输所收集的文件。另外,虚假的火狐安装程序还会在释放恶意软件之前检查受害者是否安装 ESET 或 BitDefender 杀毒软件。
研究人员表示,“这些特征可解读为该威胁行动者实际上是受雇者提供的企业服务的一个组成部分。我们认为每款恶意软件都极其相似但却通过微小改动后即可用于不同目标,因此它是一款专业的打包解决方案。”
推荐阅读
希腊和土耳其黑客互相攻击对方媒体机构
天黑请关灯,特朗普也不例外:间谍通过观察灯光振动实施监听
强大的间谍软件 FinSpy 被指攻击缅甸 iOS 和安卓用户
原文链接
https://thehackernews.com/2020/06/strongpity-syria-turkey-hackers.html
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~
StrongPity APT:不畏曝光,一心迭代,攻城掠地相关推荐
- 建瓯最坏的YARA - APT | 病毒检测 | 常用模块和字段
建瓯最坏的YARA YARA规则 推荐YARA相关文章 通用 文件属性 SIZE(如66KB) 条件(Condition) 字符串多次出现 字符串位置 地址 具体位置 位置区间 偏移 PE模块 文件类 ...
- 伊朗APT组织的网络间谍工具源代码和攻击者被泄露和曝光
最近,有人发布了属于伊朗国家背景的APT攻击组织 APT34(oilrig,HelixKitten)的黑客工具. 这起事件让人想起了影子经纪人泄漏NSA的黑客工具. 自3月中旬以来,这些工具已被一个自 ...
- [译] APT分析报告:03.OpBlueRaven揭露APT组织Fin7/Carbanak(上)Tirion恶意软件
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助.前文分享了钓鱼邮件网址混淆URL逃避检测,这篇文章将介绍APT组织 ...
- APT 分析报告:钓鱼邮件网址如何混淆 URL 逃避检测?
作者 | 杨秀璋 责编 | 夕颜 图源 | 视觉中国 出品 | CSDN(ID:CSDNnews) 这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源A ...
- 一文看懂模糊搜索1.0到3.0的算法迭代历程
参加 2019 Python开发者日,请扫码咨询 ↑↑↑ 作者 | 宋广泽 责编 | 郭芮 来源 | CSDN(ID:CSDNnews) 前一段时间在Linux上用C语言做了一个信息管理系统,初始版本 ...
- APT(高级可持续性威胁)
APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动.这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质.供应链和社会工程学等多种手段实施先进 ...
- 曝光 Facebook 内部高效工作 PPT 指南
点击上方蓝色"程序猿DD",选择"设为星标" 回复"资源"获取独家整理的学习资料! 分享25张来自facebook内部的PPT,希望对你进入 ...
- python如何只保留数字_雷军透露小米或只保留数字、MIX和CC系列 官宣视频首度曝光小米CC...
近日,关于小米收购美图手机后,将推出第一款带有美图手机基因的新品的消息在网间不胫而走,随后,官方不但透露了该款新机的内部代号为"小仙女",并且,在6月21日,小米集团创始人.董事长 ...
- 产品迭代的道与术,爆款产品的打造密码 | 周四话产品
任何一个成功的产品迭代的关键在于找出核心问题.而洞察问题的本质是建立在产品.用户.市场.数据分析的综合感知之上,在各个环节中的提出假设和验证假设的不断循环. 一.谈产品迭代前,我们要知道的事 在探讨产 ...
最新文章
- 【NLP】NLP文本分类落地实战五大利器!
- python制作题库网站_Python解答力扣网站题库简单版!
- python web开发 CSS基础
- Spark资源调度分配
- 论文浅尝 | 基于模式的时间表达式识别
- php跳一跳小游戏,原生JS实现的跳一跳小游戏完整实例
- linux运维平台工具,Linux运维自动化工具 Kickstart
- python微控制器编程从零开始 pdf_Python极客项目编程_(美)Mahesh Venkitachalam.pdf
- 国外免费服务器 win系统,FreeSSHd一个免费的SSH服务器的Windows | MOS86
- 数据抓取的艺术(一)
- Can‘t commit changes due to unresolved conflicts
- 一文读懂LiveData 粘性事件
- 使用经验-深度学习云服务器mist GPU
- 课堂笔记(3) 假设检验 Hypothesis testing
- 钉钉如何群里定时发送文件_使用钉钉APP实现多人在线协同编辑文档
- PotPlayer视频播放器使用技巧
- HBase读数据和写数据流程
- C++RPG打怪小游戏
- 比尔盖茨:AI将如何减少不平等现象?
- 2014年BN Nook HD/HD+ CM11新手入门+刷机教程,编译自xda,仅供参考
热门文章
- PHP核心技术与最佳实践 读书笔记 第二章 面向对象的设计原则
- Csdn论坛关于一个模板特化不能执行的问题的修改
- CnBlogs博文demo演示技巧比较:jsfiddle完胜
- 软件过程评估和软件能力评价之间的差异
- 肖申克的救赎,阅后瞎想...(zz)写的不错
- extract-text-webpack-plugin
- for /r命令实现全盘搜索指定文件
- 一步一步SharePoint 2007之二十八:实现WebPart的单步调试
- 任何在aix下面看你的系统是32位还是64位的
- pycharm编程工具自带python环境吗_pycharm+PyQt5+python最新开发环境配置(踩坑)