导语:乌克兰再次成为了黑客攻击对象,数家企业、科研机构、媒体的电脑系统遭遇复杂恶意软件攻击,窃取了大部分的敏感数据和监听其网络流量。

00.png

乌克兰再次成为了黑客攻击对象,数家企业、科研机构、媒体的电脑系统遭遇复杂恶意软件攻击,窃取了大部分的敏感数据和监听其网络流量。

Operation BugDrop的背景雄厚

威胁情报公司CyberX的安全研究员发现了一种高级恶意软件攻击活动,已经从将近70个受害者窃取超过600GB的数据,这些受害者包括国家重要基础设施、新闻媒体、科研机构。

研究员们将这一攻击活动命名为Operation BugDrop,他们的攻击目标为乌克兰、俄罗斯、沙特阿拉伯、澳大利亚。CyberX并没有指明该组织的背景,只是表示Operation BugDrop幕后的攻击者可能有政府赞助黑客的背景,拥有高超的技术,拥有无限的资源。

Operation BugDrop是一个组织良好的活动,使用复杂的恶意软件,并且还有一个资源充足的组织支撑。另外,该活动还有一个非常庞大的基础构架,每天需要存储、解密、分析大量搜集到的数据。

攻击流程

0.png

Operation BugDrop使用了复杂的恶意软件,可渗透进受害者的电脑,捕捉屏幕截图、文档和密码,还可以打开受害者设备的麦克风,搜集所有对话的音频记录。

这一神秘的黑客组织感染用户的方式是向目标发送钓鱼邮件,附件是一个含有恶意程序的Microsoft Word文档。只要受害者打开了这个恶意文档,其背后隐藏的恶意Visual Basic脚本就开始在后台的一个临时文件夹中运行。一旦成功感染,受害者设备便会将窃取到的音频和数据发送至黑客的Dropbox账号上。

躲避追踪技术

Operation BugDrop躲避追踪的技术比较高超,很难被检测到:

1.  恶意软件可以将音频数据转换成合法的流量输出
2.  BugDrop会加密DLL,以此躲避传统杀毒软件和沙盒系统的检测
3.  利用公共云服务——Dropbox

BugDrop还利用了反射型DLL(Dynamic Link Library)注入技术,与 Stuxnet攻击和 BlackEnergy 攻击中使用的技术一样。

攻击目标

据CyberX的调查显示,Operation BugDrop的攻击目标主要是国家重要基础设施、科研机构、新闻媒体。并且受害国家不仅限于乌克兰,俄罗斯、沙特阿拉伯、澳大利亚也在攻击范围之内。

一家可以远程监管石油天然气管道的公司
一家设计发电站、自来水厂管道和天然气管道的工程公司
一家关注反恐、人权、网络攻击的国际组织
科研机构
乌克兰新闻媒体
源链接

Hacking more

...