APT28 看来可以获得今年安全奥斯卡的史诗级失败奖了。因为他们对参加CyCon安全大会的专家们使用了鱼叉式钓鱼攻击。
本月初,APT28 对CyCon的参会人员发动了这次攻击,CyCon是北约联合防御中心(CCDCOE)和西点军校网络研究所合办的安全会议。
APT28这次真的太蠢了,对安全圈一点敬意都没有
很显然,参加这次会议的基本都是安全圈的专家,对鱼叉钓鱼,恶意软件和APT组织都太了解了。
而APT28呢,他们是否使用了还没曝出的0day漏洞,来让专家措手不及?然而并没有。他们只是进行了简单的鱼叉式钓鱼攻击,邮件中带有宏病毒的word文件而已。
而参会的专家对这些伎俩可谓十分清楚了,他们才不会打开这些word呢。
但要是有0day的话,还是可以起点作用的。可0day很贵,而且只能用一次,因为马上就会被修复。对于这些珍贵的0day ,APT是怎么使用的呢?今年早些时候,APT28使用0day漏洞对政府人员进行了攻击,但是这些人员本身没有经过特殊的安全培训,安全意识很低。
word宏病毒这样的小把戏不起作用时才用0day好吧。
把宝贵的0day用来攻击安全意识很低的政府人员,杀鸡用了牛刀,拿word宏病毒这样的小把戏对付老道的安全专家,杀牛又用了鸡刀。
这次APT28的活动主事人应该好好反省反省了,APT28名声还是很大的,毕竟他们成功攻击过NATO,五角大楼,白宫,DNC和德国议会。用宏病毒对付安全专家这样的点子还是少出为妙。
Seduploader木马
好,我们假设一下这样的伎俩让安全专家中了招,并且执行了宏病毒(沙盒环境),他们会发现文档会下载并安装Seduploader ,这也是APT28经典的后门木马之一,主要用来侦查监听用户电脑。
这次活动的发现者是Cisco Talos ,更多细节请在这里查看。Talos 的团队将APT28称为Group 74,他们还有其他的名字,比如Fancy Bear,Sofacy,Sednit,Tsar Team,Pawn Storm和Strontium。
CyCon 大会的组织者也对此次攻击做出了预警。
(责任编辑:安博涛)
