导语:一支名为“StrongPity”的APT组织在最近的一次活动中,开始针对加密软件(如TrueCrypt 和WinRAR)用户发起攻击。

一支名为“StrongPity”的APT组织在最近的一次活动中,开始针对加密软件(如TrueCrypt 和WinRAR)用户发起攻击。

卡巴斯基实验室表示,该组织在过去几年就开始一直活跃,但是它主要使用零日漏洞对目标实施攻击或监视用户及其行为。但是,2016年夏天,在最近的这次攻击事件中,我们发现该组织使用了一种从未用过的新型战术。

卡巴斯基实验室表示,该组织使用水坑攻击和受感染的安装程序来入侵那些他们平时很难攻击的用户电脑,因为这些用户都会使用加密软件。正是受害者的这种加密嗜好吸引了攻击者的注意,他们开始潜心研发破解加密软件的新技术。

该组织在不同的攻击活动中主要针对两种加密软件。第一种是WinRAR,已知具备最好的归档功能的软件包,但是它还有一个特征,允许用户使用AES算法加密数据,并将其锁在有密码保护的RAR文件里面。

第二种就是TrueCrypt,将所有文件锁在一个硬盘上的全盘加密工具。该软件包在两年前非常受欢迎,但是在其开发商表示该软件不安全,并敦促用户使用其他工具代替后,绝大多数用户都选择了放弃使用该软件。

通过攻击这两种加密软件的用户,StrongPity试图入侵他们之前无法攻破的那些使用加密软件保护数据的用户。

卡巴斯基表示,StrongPity组织曾经注册一个类似“rarlab.com”官方网站(WinRAR软件开发者发布该软件的网站)的高仿域名“ralrab.com”。

通过此高仿域名,该APT组织试图欺骗winrar.be网站运营者连接到他们在“ralrab.com”网站上设置的恶意版本的WinRAR软件,而不是官方正版的软件。

他们特制版本的WinRAR恶意软件中存在后门木马,允许StrongPity组织的黑客对任何安装此感染软件包的用户实施监视行为。

他们还将同样的手段用于winrar.it网站,但是并未让其连接到“ralrab.com”网站,而是诱导winrar.it网站自己主动加载一个恶意软件版本。

以上两起事件都发生在2016年5月,但是该组织并没有终止此类攻击行为。2016年9月,他们又试图欺骗Tamindir软件下载网站的运营商,将想要下载TrueCrypt软件的用户重定位至“true-crypt.com”网站,一个由攻击者控制的钓鱼网站。

如同WinRAR软件一样,通过该网站加载的TrueCrypt加密软件版本中同样存在后门木马,允许攻击者访问用户的电脑系统,窃取或拦截数据。

因为木马被压缩在WinRAR和TrueCrypt软件包中,所以攻击者具备访问加密数据的能力,而这些他们在以前攻击中是无法实现的。

据卡巴斯基统计,攻击者已经对意大利、土耳其、比利时、阿尔及利亚以及法国的众多用户实施了攻击,但是StrongPity木马后门的踪迹却发现已经遍及整个欧洲,非洲和中东地区。研究人员表示,目前有超过1000个系统在StrongPity组织最近的攻击活动中沦陷。

源链接

Hacking more

...