火眼公司安全研究人员发现了一个名为APT 29的俄罗斯黑客组织,它利用推特掩盖恶意软件窃取数据的活动。黑客这样做的目的是向恶意软件发送指令,不过他们提高了技术水平,使得检测变得更加困难。
APT 29使用的恶意软件名为Hammertoss。Hammertoss执行一种每天可生成新推文的算法,通过这种方式命令和控制服务器就能够通过使用由APT 29管理的具体推特账户与Hammertoss通信。
此前曾发现攻击者将推特及其它社交媒体当做命令和控制服务器,而且效果很好,因为很多企业不可能拦截社交媒体平台的出站链接。APT 29试图通过增加混淆层以及模拟合法用户行为的方式躲避对恶意软件的检测。Hammertoss通过推特、GitHub以及云存储服务传达命令并从被攻陷 网络中提取数据。
黑客将命令置于包含URL及哈希标签的推特中。URL会导向位于不同服务器中的图片中,而这个图片中包含通过隐写术隐藏的数据。
哈希标签用来对图片的文件大小进行编码,而应当被添加至解密密钥的一些字符被存储在了Hammertoss中以提取隐藏数据。
报告指出,“Hammertoss后门每天会生成并查找不同的推文。它使用一种算法在尝试访问对应的推特页面之前生成每日推文,如‘234Bob234’。如果威胁组织并没有注册当日的推文,Hammertoss就会一直等到第二天并查找另外的推文。”
安全专家指出,APT 29采取了几种技巧来逃避检测。例如,Hammertoss通常只在平常的工作日感染组织机构时才呈现活跃状态,这样,恶意流量就很难被检测到。
安全专家之所以认为APT 29是一个俄罗斯或与俄罗斯有关的黑客组织,原因是它仅在莫斯科时间的正常工作日活跃,而且它在俄罗斯节假日期间并不活跃。
安全专家认为APT 29的主要专注于攻陷政府组织机构,并收集与俄罗斯相关的地理政治信息,由此专家认为APT 29是一个受政府支持的黑客组织。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。