StrongPity网络间谍活动“重出江湖”!
该威胁组织正在使用WinRAR和其他合法软件包的恶意版本来感染目标,很有可能是通过水坑攻击的方式。
StrongPity新间谍软件活动
据AT&T Alien Labs的研究人员称,该综合恶意软件的幕后攻击者是名为StrongPity(又名Promethium)的APT组织。近日,该组织已经开展了一项新的间谍软件活动,截至2019年7月仍在进行中。研究人员表示,该组织已经重新配置了新的恶意软件,以控制受损的机器。
根据AT&T的分析,新的恶意软件样本在7月初首次被确定,此前尚未报道过。根据编译时间、基础设施建设和使用以及样本的公开分发,研究人员评估该活动目前仍在成功进行中。
根据该研究,现在针对土耳其用户的新恶意软件,使用了类似于该组织标志性的StrongPity / Prometheus代码,具有完整的间谍软件功能,可用于定位敏感文档,同时为远程访问建立持久后门。
据研究显示,作为最初的感染媒介,StrongPity正在部署WinBox路由器管理软件的恶意版本、WinRAR免费加密和文件压缩实用程序。分析还发现该组织使用较新版本的WinRAR和一个名为Internet Download Manager(IDM)的工具来隐藏恶意软件。研究人员表示,考虑到这些选择,其攻击目标可能是技术型实体组织。
StrongPity随着时间的推移而逐渐演变
StrongPity于2016年10月首次公开报道,此前曾针对比利时和意大利的用户发起攻击,使用水坑攻击部署恶意版本的WinRAR和TrueCrypt文件加密软件。卡巴斯基研究人员将该威胁组织描述为一个极具特色的APT组织,利用零日漏洞和模块化攻击工具来渗透设备并进行间谍活动。
随后在2016年,微软公司开展了更多研究,发现该组织针对欧洲用户进行零日漏洞攻击。2017年,ESET研究人员在两个未命名的国家中确定了StrongPity变种,标志着该组织进攻手段的变化。
2018年3月StrongPity再次出现,当时Citizen Lab报道了针对土耳其和叙利亚用户的威胁活动。研究人员表示,他们通过滥用TürkTelekom网络中的Sandvine / Procera深度包检测(DPI)硬件,进行了ISP级别的APT攻击。
针对本周Alien Labs的研究结果,Cylance研究员表示“随着新信息的发布,恶意软件继续进化”。
