網路安全业界传来警报,臭名昭著的网络间谍组织“云图”(Cloud Atlas)近期发起了系列鱼叉式网络钓鱼攻击,目标直指俄罗斯的农业企业和国有研究机构。该消息来自独立网络安全公司 F.A.C.C.T. 的一份报告,该公司由原 Group-IB 团队于今年早些时候脱离后成立。
云图组织活跃至少自2014年以来,其真实身份至今不明,曾使用过 Clean Ursa、Inception、Oxygen 和 Red October 等多个别名。该组织因长期针对俄罗斯、白俄罗斯、阿塞拜疆、土耳其和斯洛文尼亚等国发起网络间谍活动而臭名昭著。
2022年12月,Check Point 和 Positive Technologies 两家安全公司揭露了云图组织的复杂攻击手法,该手法涉及部署一种名为 PowerShower 的基于 PowerShell 的后门程序,以及能够与攻击者控制服务器通信的 DLL 恶意组件。
狡诈手法:利用陈年漏洞诱骗下载恶意文件
攻击始于一封看似普通的诱饵邮件,其中包含一个利用CVE-2017-11882漏洞的恶意文档。该漏洞是微软 Office 方程式编辑器中存在长达六年的内存损坏漏洞,云图组织早在2018年10月就开始利用此漏洞执行恶意程序。
卡巴斯基在2019年8月的一份报告中指出:“云图组织的大规模鱼叉式网络钓鱼攻击活动仍然使用这种简单却高效的方法来窃取目标信息。与其他攻击组织不同,云图组织最近的攻击活动没有使用开源植入物,而是使用定制恶意软件,提高隐蔽性。”
F.A.C.C.T. 的报告指出,最新的攻击手法与 Positive Technologies 之前揭露的类似,同样利用 CVE-2017-11882 漏洞注入恶意 RTF 模板,进而下载并运行混淆的 HTA 文件。值得注意的是,这些攻击邮件通常来自俄罗斯流行的邮箱服务 Yandex Mail 和 VK 的 Mail.ru。
随后,恶意 HTML 应用程序会启动 Visual Basic Script (VBS) 文件,最终从远程服务器下载并执行未知的 VBS 代码,完成整个攻击流程。
“云图组织非常老练,他们精心策划了攻击的每一个环节,”Positive Technologies 去年在一份报告中这样评价该组织。“该组织的攻击工具多年来没有太大变化,他们通过一次性有效载荷请求并进行验证,以及利用合法的云存储和微软 Office 的功能来逃避检测。”
警惕Decoy Dog:另一款针对俄罗斯的恶意软件
除了云图组织的攻击,F.A.C.C.T. 还报告了另一种名为 Decoy Dog 的恶意软件,该软件是 Pupy RAT 的变种,至少20家俄罗斯组织因此受到攻击。F.A.C.C.T. 将其归因于另一个名为地狱犬(Hellhounds)的先进持续威胁组织。
该恶意软件不仅允许攻击者远程控制受感染主机,还附带了一个脚本,旨在将遥测数据传输到名为“Lamir Hasabat” (@lahat) 的 Mastodon 账户上。
安全研究人员 Stanislav Pyzhov 和 Aleksandr Grigorian 表示:“在第一版 Decoy Dog 的信息被披露后,恶意软件作者采取了多种措施,极大地增加了其在流量和文件系统中的检测难度。”
安全提醒:警惕鱼叉式攻击,及时更新软件漏洞
此次事件再次提醒广大用户和企业,谨防鱼叉式网络钓鱼攻击的危害。及时更新软件修复安全漏洞,安装可靠的安全软件,保持警惕并对可疑邮件保持谨慎,是抵御此类攻击的重要措施。
原创文章,作者:SnowFlake,如若转载,请注明出处:https://www.cncso.com/tw/cloud-atlas-spear-phishing-attacks-hit-russian-firms.html
