网络间谍组织StrongPity重新配置恶意软件进行威胁活动

 无国界 2019-07-24 

据AT&T Alien Labs的研究人员称,APT组织StrongPity近日已经开展了一项新的间谍软件活动,使用WinRAR和其他合法软件包的恶意版本来感染目标,很有可能是通过水坑攻击的方式。截至2019年7月仍在进行中。研究人员表示,该组织已经重新配置了新的恶意软件,以控制受损的机器。

网络间谍组织StrongPity

根据AT&T的分析,新的恶意软件样本在7月初首次被确定,此前尚未报道过。根据编译时间、基础设施建设和使用以及样本的公开分发,研究人员评估该活动目前仍在成功进行中。

根据该研究,现在针对土耳其用户的新恶意软件,使用了类似于该组织标志性的StrongPity / Prometheus代码,具有完整的间谍软件功能,可用于定位敏感文档,同时为远程访问建立持久后门。

据研究显示,作为最初的感染媒介,StrongPity正在部署WinBox路由器管理软件的恶意版本、WinRAR免费加密和文件压缩实用程序。分析还发现该组织使用较新版本的WinRAR和一个名为Internet Download Manager(IDM)的工具来隐藏恶意软件。研究人员表示,考虑到这些选择,其攻击目标可能是技术型实体组织。


StrongPity随着时间的推移而逐渐演变

StrongPity于2016年10月首次公开报道,此前曾针对比利时和意大利的用户发起攻击,使用水坑攻击部署恶意版本的WinRAR和TrueCrypt文件加密软件。卡巴斯基研究人员将该威胁组织描述为一个极具特色的APT组织,利用零日漏洞和模块化攻击工具来渗透设备并进行间谍活动。

随后在2016年,微软公司开展了更多研究,发现该组织针对欧洲用户进行零日漏洞攻击。2017年,ESET研究人员在两个未命名的国家中确定了StrongPity变种,标志着该组织进攻手段的变化。

2018年3月StrongPity再次出现,当时Citizen Lab报道了针对土耳其和叙利亚用户的威胁活动。研究人员表示,他们通过滥用TürkTelekom网络中的Sandvine / Procera深度包检测(DPI)硬件,进行了ISP级别的APT攻击。

针对本周Alien Labs的研究结果,Cylance研究员表示“随着新信息的发布,恶意软件继续进化”。


以上内容由四川无国界(www.uvsec.com) 整理编辑——专业从事网络信息安全培训与IT风险管理咨询服务。

 证书咨询

 电话咨询  在线咨询  预约报名