欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

Zebrocy APT组织又现新后门

 


卡巴斯基实验室的研究人员表示,Zebrocy APT组织不断更新其恶意软件,这使得防御其攻击变得越来越难。


Zebrocy,一个俄罗斯高级持续威胁(APT)组织,自少从2015年开始活跃,多次工具政府、军队和外交机构。


卡巴斯基实验室的研究人员表示,他们发现该组织正在使用一种新的下载程序,在德国、英国、伊朗、乌克兰和阿富汗等多个国家的组织中部署一个新开发的后门系统。


该后门是用Nim编程语言编写的,用于分析系统、窃取凭证以及帮助攻击者在受感染计算机上长期潜伏。与之前的活动一样,Zebrocy使用鱼叉式网络钓鱼邮件向目标组织分发新的恶意软件。


这是Zebrocy不断扩大的恶意软件家族的最新成员,表明该组织攻击目标网络绝不是一时兴起,而是蓄谋已久。2019年,我们将看到更多关于Zebrocy攻击政府和军事相关组织的新闻。


Zebrocy及其同名恶意软件于2015年首次被发现,卡巴斯基实验室以及其它安全厂商将该组织与俄罗斯联系起来,而且将Zebrocy与Fancy Bear/APT 28/Sofacy组织混为一谈。在Zebrocy发起的攻击中,最臭名昭著的是在上次大选前夕攻击包括美国民主党全国委员会在内的众多组织。


一些安全公司,如ESET,认为Zebrocy是Fancy Bear的攻击工具之一,而不一定是一个单独的组织。本月早些时候,ESET发布了一份新报告,指出Fancy Bear对其攻击工具进行了大量改进,使攻击者能够更好地控制受攻击的系统。


卡巴斯基实验室认为,使用Zebrocy的团队是一个独立的子团队,与Sofacy/Fancy Bear和BlackEnergy/Sandworm APT组织有着相同的血统,后者被认为是2015年乌克兰电网一系列破坏性攻击的幕后黑手。


卡巴斯基实验室国际研究与分析团队的首席安全研究员Kurt Baumgartner表示:“就我们而言,过去几年我们一直认为Zebrocy是Sofacy的一个子集。至少在一开始,Zebrocy背后的团队与Fancy Bear和BlackEnergy组织共享基础设施、目标和代码。然而随着时间的推移,研究表明这种恶意软件、活动和基础设施是独一无二的。”


Baumgartner指出,Zebrocy与其他APT组织的不同之处在于,它使用各种编程语言和技术来构建恶意软件,包括AutoIT、Delphi、c#、Go、PowerShell、以及最近的Nim。


尽管Zebrocy与两个非常复杂的威胁组织有联系,但迄今为止,该组织尚未在其活动中利用任何0day安全漏洞。它还渐渐有了通过复制粘贴来自Pastebin和GitHub等网站的合法以及不合法的代码来构建恶意软件的趋势。Zebrocy经常使用从外部获取的少量代码为特定的攻击活动重新编写恶意软件。然而,与Zebrocy有联系的其它两个APT组织都以0day攻击和高敏捷的技术能力而闻名。


这一事实以及Zebrocy从公共论坛和代码共享网站窃取源代码的倾向表明,该组织的复杂性在于不断地实验,而该组织恶意软件的选择在一定程度上受到机器学习算法的指导。


为了缓解和应对各种各样的攻击,网络防御者已经耗费了大量时间,而Zebrocy不断试验、开发新的恶意软件,只会加剧这一问题的严重性。

9999.jpg


暂无

您可能还会对下面的文章感兴趣: