APT28 看来可以获得今年安全奥斯卡的史诗级失败奖了。因为他们对参加 CyCon 安全大会的专家们使用了鱼叉式钓鱼攻击。
本月初,APT28 对 CyCon的参会人员发动了这次攻击,CyCon 是北约联合防御中心(CCDCOE)和西点军校网络研究所合办的安全会议。
APT28 这次真的太蠢了,对安全圈一点敬意都没有
很显然,参加这次会议的基本都是安全圈的专家,对鱼叉钓鱼,恶意软件和 APT 组织都太了解了。
而 APT28 呢,他们是否使用了还没曝出的 0day漏洞,来让专家措手不及?然而并没有。他们只是进行了简单的鱼叉式钓鱼攻击,邮件中带有宏病毒的 word 文件而已。
而参会的专家对这些伎俩可谓十分清楚了,他们才不会打开这些 word 呢。
但要是有 0day 的话,还是可以起点作用的。可 0day 很贵,而且只能用一次,因为马上就会被修复。对于这些珍贵的 0day ,APT 是怎么使用的呢?今年早些时候,APT28 使用 0day 漏洞对政府人员进行了攻击,但是这些人员本身没有经过特殊的安全培训,安全意识很低。
word 宏病毒这样的小把戏不起作用时才用 0day 好吧。
把宝贵的 0day 用来攻击安全意识很低的政府人员,杀鸡用了牛刀,拿 word 宏病毒这样的小把戏对付老道的安全专家,杀牛又用了鸡刀。
这次 APT28 的活动主事人应该好好反省反省了, APT28 名声还是很大的,毕竟他们成功攻击过 NATO,五角大楼,白宫,DNC和德国议会。用宏病毒对付安全专家这样的点子还是少出为妙。
Seduploader 木马
好,我们假设一下这样的伎俩让安全专家中了招,并且执行了宏病毒(沙盒环境),他们会发现文档会下载并安装 Seduploader ,这也是 APT28 经典的后门木马之一,主要用来侦查监听用户电脑。
这次活动的发现者是 Cisco Talos ,更多细节请在这里查看。Talos 的团队将 APT28 称为 Group 74,他们还有其他的名字,比如 Fancy Bear,Sofacy,Sednit,Tsar Team,Pawn Storm和Strontium。
CyCon 大会的组织者也对此次攻击做出了预警。
稿源:FreeBuf *参考来源:bleepingcomputer ,FB小编 Liki 编译
