Turla由BAE研究员首次发现,又称 Waterbug 、Venomous Bear、Krypton。自2007年以来一直处于活跃状态,其主要针对欧洲外交部等政府机构与军工企业展开攻击活动。2017年8月30日ESET发布研究报告披露,Turla使用隐秘后门“Gazer”监控全球的领事馆和大使馆。恶意软件 Gazer 由开发人员采用C++程序编写,经鱼叉式钓鱼攻击进行传播,可由攻击者通过C&C服务器远程接收加密指令,并可使用受损合法网站(多数使用 WordPress)作为代理规避安全软件检测。
有趣的是,不仅早期版本的Gazer签发了Comodo颁发的 “Solid Loop Ltd”有效证书,而最新版本也签发了“Ultimate Computer Support Ltd.”颁发的SSL证书。ESET公司在报告中指出,除了将后门与合法Flash Player安装程序捆绑在一起之外,Turla组织使用的URL及IP地址来自Adobe的合法基础设施,从而让受害者误以为自己在下载合法软件。
潜在攻击途径可能包括:
(1)劫持受害者组织机构网络内的设备,利用其充当中间人(简称MitM)攻击的跳板。
(2)攻击者可能入侵目标网关,借此拦截组织内网与互联网之间的所有输入与输出流量。
(3)流量拦截同样可能发生在互联网服务供应商(简称ISP)身上,这是FinFiher间谍软件在监控活动中使用的一项策略。
(4)攻击者可能已利用边界网关协议(简称BGP)劫持将流量重新路由至Turla控制的服务器,不过ESET方面指出该策略可能很快触发Adobe或BGP监控服务的警报。
4、APT33窃取能源与航天机密
网络安全厂商FireEye公司,2017年9月份披露,某伊朗黑客组织至少自2013年来一直针对沙特阿拉伯、韩国以及美国的各航空航天与能源企业开展入侵活动,并将此作为其大规模网络间谍活动的一部分,旨在大量收集情报并窃取商业机密。该组织的主要活动集中在向目标网络发送包含恶意HTML链接的钓鱼邮件,旨在利用被称为“TURNEDUP”的一种定制化后门以感染目标计算机。但也有证据表明,该黑客组织亦有能力针对有价值基础设施企业进行数据清除类攻击活动。
APT33注册有多个域名,并借此将自身伪装为航空公司及欧美承包商。这些网站在设计上尽可能贴近沙特阿拉伯的合法企业,但其中却充斥着大量伪造信息。这些域名亦很可能被应用到网络钓鱼邮件中,旨在强化对受害者的诱导能力。FireEye公司的调查结果则再次强调,伊朗政府正在持续投入数额可观的资金,旨在建立起一支有能力进行远程情报收集、发动破坏性攻击、窃取知识产权的专业黑客队伍。
5、APT28利用“网络冲突”进行攻击
Cisco Talos安全情报团队发现著名的间谍组织APT28(又名Group 74、TsarTeam、Sofacy、Fancy Bear…)发起的新一波恶意网络活动。有趣的是,攻击活动中使用的诱饵文件是关于即将举办的第九届网络冲突会议(Cyber Conflict U.S. conference)的欺骗性传单。2017年11月份举办的CyCon US会议是美国陆军军官学校(西点军校)的陆军网络学院、北约合作网络军事学院和北约合作网络防御中心联合组织的。
以往的CyCon会议上,来自世界各地政府、军事和工业的500多名决策者和专家,以跨学科的方式,从法律、技术和战略角度来交流网络安全相关的议题。鉴于观察到的APT28活动所使用的诱饵文件的性质,推断这一活动是针对那些对网络安全感兴趣的人。与以往APT28组织的攻击活动不同,此次的诱饵文件不包含Office的0day漏洞利用,只在VBA宏函数中包含一个恶意的Visual Basic。
6、APT28利用0day漏洞入侵法国大选
APT28组织被指干扰法国总统大选,对当时还是候选人的马克龙发动攻击。网络安全公司Trend Micro通过监控后发现,APT28至少创建了4个不同的域名,且地址与马克龙党派的官方网站十分类似,大概是为了发起网络钓鱼攻击活动。其中一个虚假域名伪装为微软的网址。据在线记录显示,马克龙竞选团队使用Microsoft Outlook收发邮件,因此,使用另外一个Microsoft云产品的名称创建域名是有意义的。与此同时,一个含有名为“特朗普攻击叙利亚(英文版本)”附件的钓鱼邮件引起了研究人员的注意。研究人员分析后发现这个文档的真实作用是释放APT28组织广为人知的侦察工具Seduploader。为实现这一目的,攻击中该组织使用了两个0day漏洞:一是Word远程代码执行漏洞 (CVE-2017-0262),另外一个是Windows中的本地权限升级漏洞 (CVE-2017-0263)。
7、APT28攻击国际田联