CSE Cybsec 公司的 Z-Lab 指出,和俄罗斯存在关联的 APT28 黑客组织正在攻击意大利军队。

Z-Lab 安全研究员上周末发现 APT28 利用恶意软件实施多阶段网络监控活动。第一阶段利用 Delphi 编写的释放器恶意软件,之后是 X-agent 后门的新版本,即此前和 APT28 存在关联的恶意代码。

研究人员指出,和该恶意活动相关联的一个恶意库 (dll) 文件连线名为 “marina-info.net” 的一台命令服务器。这个名称是指意大利军事集团即意大利海军 (Marina Militare)。

研究人员指出,“连接至 ‘marina-info.net’ 的 dll 可能是最后一个阶段的恶意软件,只有在某种特定条件下才会被触发,如当恶意软件感染的系统的 IP 地址位于某个具体范围内时等。”

研究人员总结称,APT28 可能正在攻击某些特定组织机构如意大利海军及其转包商。由于意大利组织机构遭攻击的时间是在夏季,因此研究人员将该恶意活动命名为“罗马假日”。

Z-Lab 研究人员和独立研究员 Drunk Binary (@DrunkBinary) 在野外发现恶意软件样本并将其上传至 VirusTotal,发布了分析报告。

APT28 攻击目标转移

APT28 黑客组织至少活跃于2007年,一直在攻击全球范围内的政府、军队等组织机构。该黑客组织被西方情报机构认为隶属于格鲁乌,且被指攻击德国联邦议院、法国电视台 TV5Monde 以及干涉美国2016年的总统大选活动。2017年下半年,APT28 被指将注意力从北约国家和乌克兰转向中国、蒙古、韩国和马来西亚等国家。

Palo Alto Networks 公司的研究人员发现多个亚洲国家遭受的多次攻击中出现了 APT28 此前曾使用过的 SPLM 和 Zebrocy 工具。

上周,被指和格鲁乌情报机构相关的十多名人员被指参与攻击2016年美国总统大选活动遭起诉。

本文由360代码卫士翻译自TheRegister

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。