網(wǎng)絡(luò)間諜組織StrongPity重新配置惡意軟件進(jìn)行威脅活動

據(jù)AT＆T Alien Labs的研究人員稱，APT組織StrongPity近日已經(jīng)開展了一項(xiàng)新的間諜軟件活動，使用WinRAR和其他合法軟件包的惡意版本來感染目標(biāo)，很有可能是通過水坑攻擊的方式。截至2019年7月仍在進(jìn)行中。研究人員表示，該組織已經(jīng)重新配置了新的惡意軟件，以控制受損的機(jī)器。


根據(jù)AT＆T的分析，新的惡意軟件樣本在7月初首次被確定，此前尚未報(bào)道過。根據(jù)編譯時間、基礎(chǔ)設(shè)施建設(shè)和使用以及樣本的公開分發(fā)，研究人員評估該活動目前仍在成功進(jìn)行中。

根據(jù)該研究，現(xiàn)在針對土耳其用戶的新惡意軟件，使用了類似于該組織標(biāo)志性的StrongPity / Prometheus代碼，具有完整的間諜軟件功能，可用于定位敏感文檔，同時為遠(yuǎn)程訪問建立持久后門。

據(jù)研究顯示，作為最初的感染媒介，StrongPity正在部署WinBox路由器管理軟件的惡意版本、WinRAR免費(fèi)加密和文件壓縮實(shí)用程序。分析還發(fā)現(xiàn)該組織使用較新版本的WinRAR和一個名為Internet Download Manager（IDM）的工具來隱藏惡意軟件。研究人員表示，考慮到這些選擇，其攻擊目標(biāo)可能是技術(shù)型實(shí)體組織。


StrongPity隨著時間的推移而逐漸演變

StrongPity于2016年10月首次公開報(bào)道，此前曾針對比利時和意大利的用戶發(fā)起攻擊，使用水坑攻擊部署惡意版本的WinRAR和TrueCrypt文件加密軟件?？ò退够芯咳藛T將該威脅組織描述為一個極具特色的APT組織，利用零日漏洞和模塊化攻擊工具來滲透設(shè)備并進(jìn)行間諜活動。

隨后在2016年，微軟公司開展了更多研究，發(fā)現(xiàn)該組織針對歐洲用戶進(jìn)行零日漏洞攻擊。2017年，ESET研究人員在兩個未命名的國家中確定了StrongPity變種，標(biāo)志著該組織進(jìn)攻手段的變化。

2018年3月StrongPity再次出現(xiàn)，當(dāng)時Citizen Lab報(bào)道了針對土耳其和敘利亞用戶的威脅活動。研究人員表示，他們通過濫用TürkTelekom網(wǎng)絡(luò)中的Sandvine / Procera深度包檢測（DPI）硬件，進(jìn)行了ISP級別的APT攻擊。

針對本周Alien Labs的研究結(jié)果，Cylance研究員表示“隨著新信息的發(fā)布，惡意軟件繼續(xù)進(jìn)化”。


以上內(nèi)容由四川無國界(www.zgtxgcmh.com) 整理編輯——專業(yè)從事網(wǎng)絡(luò)信息安全培訓(xùn)與IT風(fēng)險管理咨詢服務(wù)。