聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
卡巴斯基公司在本周四发布报告称,一个此前未知的讲俄语的黑客组织发动高针对性的间谍活动,攻击多家俄罗斯工业组织机构。
卡巴斯基公司表示,该黑客组织的工具集是 MT3,因此它被命名为 MontysThree。
虽然MontysThree 至少活跃于2018年,但研究人员并非发现它和其它已知的APT 组织之间存在任何关联。
卡巴斯基全球研究和分析团队的资深安全研究员 Denis Legezo 表示,黑客仅攻击工业实体的 IT网络,目前尚未发现工业控制系统 (ICS)遭到攻击。
研究人员表示,MontysThree 依赖的是具有四个模块的恶意软件。其中一个模块具有加载器功能,负责交付主 payload。该加载器隐藏在引用联系列表、医疗测试结果或技术文档的自提取 RAR 文档中,目的是说服这些组织机构的员工下载该文件。
该加载器通过隐写术躲避检测,而主 payload隐藏在 bitmap 镜像文件中。该主 payload 通过加密机制躲避检测并保护 C&C通信的安全。
该恶意软件可使攻击者窃取微软 Office和 PDF 文档、截屏并收集受陷机器上的信息,以便帮助黑客判断是否是感兴趣的目标。被盗信息托管在谷歌、微软和 Dropbox的公共云服务中,使得攻击者难以被检测到。
从黑客所使用的诱饵、恶意软件中的语言使用、以及它仅针对配置使用 Cyrillic脚本的 Windows 设备来看,研究人员认为 MontysThree 组织的成员讲俄语且攻击目标是俄罗斯实体。
报告指出,“某些样本中含有用于和公开云服务通信的账户详情,它们假装来自中国。从所有之前所提到的 Cyrilic工件来看,我们认为这些账户名称是伪棋。我们还从该恶意软件的英语日志信息字符串中发现了一些语法错误。”
研究人员表示,MontysThree 虽然不如之前见到的其它组织复杂,但仍然不应被忽视,“恶意软件的某些工件(同时登录 RAM和文件、在同一个文件中放置密钥、在远程 RDP主机上运行不可见的浏览器)从恶意软件开发角度来看并不成熟且是业余水平。从另外一方面讲,在 MontysThree中投入的代码和精力是巨大的。工具集展示了一定的技术决策:按照 RSA加密算法存储 3DES 密钥、通过自定义隐写术避免 IDS、以及通过合法的云存储提供商隐藏 C2 流量。”
完整报告请见:
https://securelist.com/montysthree-industrial-espionage/98972/
推荐阅读
原文链接
https://www.securityweek.com/russia-linked-hackers-targeting-russian-industrial-organizations
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~
521
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
