安全廠商Palo Alto Networks解密了目前正在針對(duì)俄羅斯或講俄語的機(jī)構(gòu)組織的網(wǎng)絡(luò)間諜活動(dòng)。

安全專家表示，最近的一波攻擊在8月份就被檢測(cè)到，一直持續(xù)至12月份，似乎是ESET之前曾發(fā)現(xiàn)過的攻擊活動(dòng)，該攻擊行動(dòng)名為“漫步老虎”。

攻擊者用定制化RAT替代PlugX

相比這兩次攻擊活動(dòng)，似乎第二次活動(dòng)有些微改進(jìn)。兩起活動(dòng)都是利用魚叉式釣魚攻擊技術(shù)來針對(duì)組織機(jī)構(gòu)發(fā)起攻擊，但第二波攻擊還利用結(jié)構(gòu)更加復(fù)雜的命令和控制服務(wù)器結(jié)構(gòu)，并且用Word文件替代了RTF文件，利用Windows CVE-2012-0158發(fā)起攻擊。

這是一個(gè)老舊漏洞，但是如果目標(biāo)系統(tǒng)沒有正確修復(fù)該漏洞并升級(jí)，攻擊者就會(huì)完全控制該系統(tǒng)。這款惡意軟件專門為利用這個(gè)漏洞而設(shè)計(jì)，跟PlugX非常相似，后者是一款為人熟知的遠(yuǎn)程訪問木馬。研究人員將該惡意軟件命名為BBSRAT。

幕后黑手身份尚未確認(rèn)

PlugX是很多跟中國(guó)有關(guān)的APT組織常用的工具，但兩家廠商都無法找出足夠的證據(jù)將“漫步老虎”或者BBSRAT跟中國(guó)的網(wǎng)絡(luò)間諜活動(dòng)聯(lián)系起來。

Palo Alto表示，BBSRAT發(fā)動(dòng)的最高級(jí)別攻擊跟模擬Vigstar人員的攻擊者有關(guān)，后者是一家俄羅斯研究組織機(jī)構(gòu)，主要為俄羅斯軍方和情報(bào)機(jī)構(gòu)開發(fā)衛(wèi) 星通信設(shè)備。該公司表示，盡管關(guān)于這些攻擊者的信息已經(jīng)公開了有一年多，包括一個(gè)包含很多命令和控制服務(wù)器的清單，攻擊者仍然還在繼續(xù)使用這些方法。