导语:最近,Palo Alto公司安全研究人员发现俄罗斯APT黑客组织——“奇异熊”(Fancy Bear )正在使用一种新型Mac OS X木马针对航天航空业的公司发起攻击。
最近,Palo Alto公司安全研究人员发现俄罗斯APT黑客组织——“奇异熊”(Fancy Bear )正在使用一种新型Mac OS X木马针对航天航空业的公司发起攻击。
主导性的观点认为,Fancy Bear是一个俄罗斯间谍情报组织又名Tsar Team(APT28),该组织主要针对美国、西欧、巴西、中国、伊朗和许多其他国家的国防部门和军方官员进行情报间谍活动。很多政府机构、非盈利组织和公司数据泄密的事件都和他们有关系。
7月份,希拉里团队电脑系统被黑,2万多封美民主党绝密邮件泄露,当局就怀疑是由一队受俄罗斯军方总参谋部情报总局(GRU)支持、代号Fancy Bear的黑客组织所为;9月,Fancy Bear又入侵了世界反兴奋剂机构(WADA)数据库,并在网上公开包括美国网球运动员威廉姆斯姐妹、体操名将拜尔斯等人的保密医疗档案。去年该组织还入侵了德国联邦议院和法国TV5 Monde TV等。
当然,对于此事俄罗斯政府是坚决否认的,他们表示Fancy Bear自己都说了全美第一黑客组织Anonymous旗下的,该组织的口号与匿名者黑客组织的口号相同,即我们是匿名者,我们是军团,我们不会原谅,我们不会忘记,期待我们。
但是,暗中调查Fancy Bear的Crowdstrike安全公司却斩钉截铁地说:Fancy Bear绝对是俄罗斯网络间谍组织。Crowdstrike首席技术人员Dmitri Alperovitch说:“我们有很大的把握可以证明,Fancy Bear是俄罗斯情报组织,它应该隶属于俄罗斯军方情报机构GRU。”
过去几周里,我们已经对关于美国民主党全国委员会(DNC)的攻击事件进行了很多讨论,安全专家也收集到了一支俄罗斯政府支持的黑客组织的参与证据。
特别是,威胁情报公司ThreatConnect的安全专家,已经对美国联邦调查局于8月份发表的一份警报中的IP地址进行了分析,结果表明,针对选举系统发起的两次网络攻击来自美国两个州。
ThreatConnect的安全专家发现,这一事件与一个俄罗斯间谍组织(据称与莫斯科政府有关)间存在一些关联。承载钓鱼信息的其中一个域名,其注册所使用电子邮件地址与臭名昭著的APT28group(APT28集团)所使用的域名间存在关联。
“奇异熊”(FancyBear)又来袭了
现在,“奇异熊”(FancyBear)又一次成为了新闻头条,根据Palo Alto公司的恶意软件研究报告指出,这一可怕的组织正是运用一种新型木马攻击Mac OS X设备的幕后黑手。
据Palo Alto公司安全研究人员RyanOlson所言,“奇异熊”(Fancy Bear)曾使用Komplex木马对航天航空业公司实施攻击,而这些企业都有使用MacKeeper杀毒软件。
Palo Alto研究人员称该木马与网络间谍组织Sofacy(也称为APT28,PawnStorm,Fancy Bear以及Sednit)有关。
研究人员表示,直到目前才发现该恶意软件的有效荷载,但还未发现任何受感染的受害者。尽管如此,他们称基于行动期间使用的文档,该木马样本似乎定制用来针对航空和航天工业的个体。
Palo Alto 公司称,到目前为止,已知该木马有三个版本:分别可用来攻击x64架构、x86架构以及x64和x86架构。
安全专家称,该木马的第一阶段组件利用MacKeeper Mac杀毒应用程序中的漏洞在Mac计算机上停留。
从他们分析的样本来看,研究人员表示,第一阶段组件伪装成呈现俄罗斯联邦太空计划的PDF文件。第一阶段组件通过添加自身的.plist文件到计算机启动程序获取boot持久性,然后下载所谓的Komplex有效荷载dropper。
第二阶段组件收集系统数据,且只有当互联网连接可用时,才会开始与C&C服务器通信,发送受感染主机有关详情。
C&C服务器将决定要发送的其它Komplex模块。研究人表示,他们识别出了模块—允许Sofacy操作员在受感染主机上下载文件、收集和窃取数据或执行命令。
Palo Alto称,Komplex木马与BAE Systems在2015年6月发现的木马一致。另外,基于该木马的操作模式以及源代码结构,他们认为Komplex是5月底部署攻击美国政府官员的Carberp Windows木马的Mac端口。
国外某网站发布了28个黑客组织排名(FancyBear组织位居22名)