安全厂商Palo Alto Networks解密了目前正在针对俄罗斯或讲俄语的机构组织的网络间谍活动。
安全专家表示,最近的一波攻击在8月份就被检测到,一直持续至12月份,似乎是ESET之前曾发现过的攻击活动,该攻击行动名为“漫步老虎”。
攻击者用定制化RAT替代PlugX
相比这两次攻击活动,似乎第二次活动有些微改进。两起活动都是利用鱼叉式钓鱼攻击技术来针对组织机构发起攻击,但第二波攻击还利用结构更加复杂的命令和控制服务器结构,并且用Word文件替代了RTF文件,利用Windows CVE-2012-0158发起攻击。
这是一个老旧漏洞,但是如果目标系统没有正确修复该漏洞并升级,攻击者就会完全控制该系统。这款恶意软件专门为利用这个漏洞而设计,跟PlugX非常相似,后者是一款为人熟知的远程访问木马。研究人员将该恶意软件命名为BBSRAT。
幕后黑手身份尚未确认
PlugX是很多跟中国有关的APT组织常用的工具,但两家厂商都无法找出足够的证据将“漫步老虎”或者BBSRAT跟中国的网络间谍活动联系起来。
Palo Alto表示,BBSRAT发动的最高级别攻击跟模拟Vigstar人员的攻击者有关,后者是一家俄罗斯研究组织机构,主要为俄罗斯军方和情报机构开发卫 星通信设备。该公司表示,尽管关于这些攻击者的信息已经公开了有一年多,包括一个包含很多命令和控制服务器的清单,攻击者仍然还在继续使用这些方法。
