设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

间谍行动无止尽:俄罗斯APT小组利用Android木马追踪乌克兰炮兵部队 ...

2016-12-23 14:10| 发布者: 随便、先森。| 查看: 1776| 评论: 0|来自: FreeBuf

摘要: 俄罗斯APT小组Fancy Bear又搞了个大新闻。根据网络安全公司CrowdStrike的调查,Fancy Bear小组的成员从2014年底到2016年利用Android恶意软件跟踪乌克兰炮兵部队。屡屡见诸报端的APT小组Fancy Bear又名APT 28, Pawn S ...

俄罗斯APT小组Fancy Bear又搞了个大新闻。根据网络安全公司CrowdStrike的调查,Fancy Bear小组的成员从2014年底到2016年利用Android恶意软件跟踪乌克兰炮兵部队。

屡屡见诸报端的APT小组

Fancy Bear又名APT 28, Pawn Storm, Sednit, Sofacy。近几年来,这个APT以各种身份出现在各种攻击事件中:

2015年8月,电子前哨基金会声称遭到了Fancy Bear的钓鱼攻击。

今年6月,Pawn Storm被发现攻击4000个Google账户。

今年9月,Palo Alto的研究人员发现Fancy Bear小组使用Mac恶意软件对航空行业发起攻击。

而在今年的美国大选期间,该组织还攻击了民主党基金会,泄露了大批文件,影响了美国大选。

此次攻击中,黑客编写恶意程序用于跟踪乌克兰炮兵部队的地理位置并监听通信。这些情报很可能被乌克兰东部的亲俄派武装力量用来发动攻击。

调查经过

2016年夏季,CrowdStrike公司的研究人员们开始调查‘Попр-Д30.apk’ (MD5: 6f7523d3019fa190499f327211e01fcb)的可疑安装包。

“从2014年末到2016年,FANCY BEAR在某个正规的Android程序中植入X-Agent,然后在乌克兰的军事论坛上传播,这款程序由炮兵军官Yaroslav Sherstuk开发。” Crowdstrike的报告中提到,“这款程序的功能是让乌克兰的炮兵部队更快地处理前苏联时期的D-30 榴弹炮的瞄准数据。使用了这款应用后,部队的瞄准时间从几分钟减少到几秒钟。根据媒体的采访,超过9000名炮兵使用了这款应用。”

Crowdstrike还公布了以下Snort规则,这些规则能够匹配X-Agent-Android C2 beacon请求:

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (\
msg: “CrowdStrike FANCY BEAR X-Agent Android C2 Request”; \
flow: established,to_server; \
content: “lm=”; http_uri; \
pcre: “/^\/(watch|search|find|results|open|close)\/\?/U”; \
pcre: “/[\?\&](text|from|ags|oe|aq|btnG|oprnd)=/U”; \
classtype: trojan-activity; metadata: service http; \
sid: XXXX; rev: 20160815;)

由于这款应用并没有在Google官方的应用商店上架,炮兵们不得不从各种其他渠道下载应用,这就导致经过Fancy Bear修改的恶意应用能够轻易传播。

攻击效果显著

根据报道中所引用的数据,乌克兰炮兵在近两年的冲突中损失了超过50%的武器,损失的D-30榴弹炮超过80%。在乌克兰所有部队中,这是损失最多的一支。

如果报告的分析准确,那就意味着克林姆林宫运用黑客攻击再一次影响了外国政府的内部事务。很多专家们认为,Fancy Bear黑客小组隶属俄罗斯联邦军队总参谋部情报管理总局格勒乌(GRU),近些年来的目标也多数能够反映出俄罗斯的地缘政治利益。

尽管俄罗斯反复否认,但美国政府始终声称俄罗斯的黑客影响了美国大选,进而导致特朗普的意外当选。而此次针对乌克兰炮兵的攻击事件中所使用的恶意代码与美国民主党全国委员会攻击事件中的代码有很多共同点。

*参考来源:SecurityAffairs & Softpedia,本文作者:Sphinx


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部