CSE Malware Zlab - 操作罗马假日 - 狩猎俄罗斯APT28

CSE CyBSEC的Z-Lab的研究人员分析了一个新的Malware集合,据称是APT28集团进行的新间谍活动的一部分。

对于CSE Cybsec的Z-Lab的研究人员来说,这是一个漫长的周末,该研究人员完成了分析了一些有效载荷,这是由俄罗斯进行的新网络间谍活动的一部分 APT28 组(又名 花哨的熊典当风暴SEDNIT.,sofacy,和 )。

上次专家们将持续的活动归功于六月的持续活动,当时Palo Alto网络的专家注意到本集团在最近的攻击中使用新工具。

Palo Alto Networks解释了T,APT集团已从他们的兴趣转移焦点 北约成员国 乌克兰走向中东和中亚。

研究人员观察了若干攻击,利用南2017年第二季度和第四季度对亚洲组织之间的裂缝和斑马工具。目标国家名单包括中国,蒙古,韩国和马来西亚。

在进行普通威胁情报活动的同时,CSE Cybsec的Z-Lab专家最近发现了一系列新的恶意软件样本,这些样本被提交给主要在线沙箱。

特别是,他们注意到恶意软件样本 提交到病毒总数这是一些专家归功于 俄罗斯APT28集团.

APT28集团 自2007年以来一直活跃,它有针对全世界的各国政府,军国民族和安全组织。该小组也参与了针对目标的攻击串 2016年总统选举.

在使用Twitter Hander醉酒的研究人员的帮助下,来自Z-Lab的Twitter Handle醉酒二进制(@drunkBinary)研究人员获得了一系列样本,可以与上传在Virustotal平台上上传的集合。

该分析显示,它是臭名昭着的APT28后门作为X-Agent的新变种,特别是6月份在野外出现的新Windows版本,

分析CSE Cybsec的攻击是多阶段的,专家发现了一种以Delphi编程语言编写的初始滴管恶意软件(其他广告系列中的APT28组使用的语言)从Internet下载第二阶段有效载荷并执行它。

有效载荷使用HTTPS协议通信给服务器,从而无法窃听它生成的恶意流量。

专家们还分析了另一个恶意DLL,明显与以前的样本无关,这与归因于俄罗斯APT组的其他有效载荷存在许多相似之值。

这种恶意软件立即引起了专家的注意,因为它与名称的C2联系“Marina-info.net.“清楚地参考意大利军事公司Marina Militare。这导致他们相信恶意代码是作为针对意大利滨海军队的有针对性攻击的一部分,或与之相关的其他一些实体。

最后一个DLL似乎与先前的样本完全没有连接,但进一步的调查导致专家认为,它是APT28在这项运动中使用的额外组件来危及目标系统。

APT28具有丰富的武器,由大量模块化恶意软件组成,DLL是Z-Lab解剖的X-Agent的组件。

X-Agent. 是一个持久的有效载荷注入了可受害机器,可以为几乎任何操作系统编译,并且可以通过添加为特定网络攻击开发的新的ad-hoc组件来增强。

在这种情况下,该组件在新的广告系列正在进行中提交给在线沙箱。专家不能排除APT集团开发了对目标特定组织的后门,包括意大利滨海军队或任何其他分包商。在分析中,专家无法直接将恶意DLL文件直接连接到X-Agent样本,但他们认为它们是由Z-Lab作为罗马假期跟踪的APT28的良好协调的外科攻击的部分,因为它夏季的意大利组织。

连接到“Marina-info.net”的DLL可能是仅在特定条件发生时触发的最后级恶意软件,例如当恶意软件感染具有属于特定范围的IP地址的系统。

关于CSE Cybsec分析的恶意软件样本的详细信息,包括IOC和YARA规则在ZLAB的研究人员发布的报告中提供。

您可以在以下URL下载完整的zlab恶意软件分析报告:

http://csecybsec.com/download/zlab/20180713_CSE_APT28_X-Agent_Op-Roman Holiday-Report_v7.pdf

2018年7月27日更新– 21:00 CET Time

研究人员发表了一种新版本,包括系统发育分析。
该小组分析的文件表现出令人惊讶的结果,并且系统发育分析具有86.77%的符合APT28 X-Agent的令人信心,基于1300件代码的对应。

20180713_CSE_Apt28_X-Agent_op-Roman Holiday-Report_v7.pdf

皮奈里格帕加尼尼

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请