聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
CSE Cybsec 公司的 Z-Lab 指出,和俄罗斯存在关联的 APT28 黑客组织正在攻击意大利军队。
Z-Lab 安全研究员上周末发现 APT28 利用恶意软件实施多阶段网络监控活动。第一阶段利用 Delphi 编写的释放器恶意软件,之后是 X-agent 后门的新版本,即此前和 APT28 存在关联的恶意代码。
研究人员指出,和该恶意活动相关联的一个恶意库 (dll) 文件连线名为 “marina-info.net” 的一台命令服务器。这个名称是指意大利军事集团即意大利海军 (Marina Militare)。
研究人员指出,“连接至 ‘marina-info.net’ 的 dll 可能是最后一个阶段的恶意软件,只有在某种特定条件下才会被触发,如当恶意软件感染的系统的 IP 地址位于某个具体范围内时等。”
研究人员总结称,APT28 可能正在攻击某些特定组织机构如意大利海军及其转包商。由于意大利组织机构遭攻击的时间是在夏季,因此研究人员将该恶意活动命名为“罗马假日”。
Z-Lab 研究人员和独立研究员 Drunk Binary (@DrunkBinary) 在野外发现恶意软件样本并将其上传至 VirusTotal,发布了分析报告。
APT28 攻击目标转移
APT28 黑客组织至少活跃于2007年,一直在攻击全球范围内的政府、军队等组织机构。该黑客组织被西方情报机构认为隶属于格鲁乌,且被指攻击德国联邦议院、法国电视台 TV5Monde 以及干涉美国2016年的总统大选活动。2017年下半年,APT28 被指将注意力从北约国家和乌克兰转向中国、蒙古、韩国和马来西亚等国家。
Palo Alto Networks 公司的研究人员发现多个亚洲国家遭受的多次攻击中出现了 APT28 此前曾使用过的 SPLM 和 Zebrocy 工具。
上周,被指和格鲁乌情报机构相关的十多名人员被指参与攻击2016年美国总统大选活动遭起诉。
关联阅读
原文链接
https://www.theregister.co.uk/2018/07/16/apt28_italian_job/
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。