记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Joohn是谁:Sofacy组织(APT28)全球活动情况分析

概述正如我们之前在分析Cannon工具的文章中所提到,Sofacy组织(也称为Fancy Bear、APT28、STRONTIUM、Pawn Storm、Sednit)从2018年10月中旬到2018年11月中旬期间,持续攻击了世界各地的政府和组织机构。他们所针对的大多数目标都是北约中的国家,当然还有一些前苏联国家。这些攻击主要通过部署Zzebrocy工具变种来实现。正如ESET之前报告的,交付文档中包含Cannon或Zebrocy Delphi变种。自从我们在2015年年中开始追踪Zebrocy以来,我们发现该工具的部署频率显著增加。
发布时间:2018-12-20 12:20 | 阅读:201209 | 评论:0 | 标签:观察 APT28

狩猎俄罗斯APT28——对其一系列新的恶意软件分析

一、简介最近,一系列新的恶意软件样本被提交到主要的在线沙箱。我们注意到一些提交给Virus Total的样本被一些专家归因溯源到俄罗斯APT28组织。APT28组织(又名Fancy Bear,Pawn Storm,Sednit,Sofacy,和Strontium)至少从2007年以来一直活跃,针对全球的政府、军事和安全组织。该组织还参与了针对2016年美国总统选举的一系列攻击。在研究人员DrunkBinary(Twitter ,@DrunkBinary)的帮助下,我们获得了一组样本,与我们拥有的样本进行比较,以发现是否存在臭名昭着的APT28后门的新变种X-Agent。
发布时间:2018-07-20 12:20 | 阅读:121557 | 评论:0 | 标签:技术 APT28

Cisco Talos安全报告:APT28以“网络冲突会议”文件为诱饵,目标是网络安全相关人士

背景介绍 近日Cisco Talos安全情报团队发现著名的间谍组织APT28(又名Group 74、Tsar Team、Sofacy、Fancy Bear…)发起的新一波恶意网络活动。有趣的是,攻击活动中使用的诱饵文件是关于即将举办的第九届网络冲突会议(Cyber Conflict U.S. conference)的欺骗性传单。 *注释:今年11月份举办的CyCon US会议是美国陆军军官学校(西点军校)的陆军网络学院、北约合作网络军事学院和北约合作网络防御中心联合组织的。
发布时间:2017-10-24 22:30 | 阅读:142107 | 评论:0 | 标签:安全报告 APT28 Cisco Talos 网络冲突会议

安全报告:APT28赶在Flash 0day漏洞的补丁被广泛部署前发起袭击

背景介绍 本周三(10月18日),Proofpoint的研究人员检测到一个恶意的Microsoft Word附件,该附件包含了一个严重的Flash漏洞利用,漏洞CVE_ID为CVE-2017-11292,Flash最近刚刚为该漏洞发布了安全补丁。 分析发现,这一袭击可以归责于APT28组织,该组织又名Sofacy,是一个有俄罗斯政府背景的黑客组织。尽管收集到的关于这一波袭击活动的数据有限,但目前已知:攻击目标的地理分布范围广泛,包括欧洲和美国的一些政府机关和重要行业的企业,如美国国务院和航空航天行业的私有企业。攻击者使用免费的电子邮件服务发送这些恶意邮件。
发布时间:2017-10-22 02:45 | 阅读:163321 | 评论:0 | 标签:安全报告 APT28 Flash漏洞 Proofpoint 0day 漏洞

如何在数秒之内破解APT28流量?

安全公司Redsocks最近发布了一个有趣的报告,解密了如何在几秒钟内破解APT28流量。在2016年年底,Redsocks就曾对APT28所使用过的过期域( expired domain)的安全性进行过研究,APT28利用这些过期域的攻击受到加密通信通道的阻碍。虽然许多关于APT28的研究组织,如ESET都提到了RC4加密算法,但并没有详细介绍所使用的密钥细节和RC4实现的细节,也没有对其进行静态特征进行分析。在本研究中,Redsocks就旨在为我们揭示x-agent恶意软件的整个运行过程,以解密其怎样干预流量。
发布时间:2017-05-03 23:45 | 阅读:128997 | 评论:0 | 标签:技术 APT28 RC4加密算法

深度分析APT28最新作品

近日,MacOS平台首次出现了XAgent的病毒样本。XAgent家族是由俄罗斯知名黑客团队APT28开发的间谍软件,具备反调试,键盘记录,下载文件和加密通信等恶意能力,在各种主流操作系统中都有样本出现,在近年来的黑客入侵事件中扮演了重要的角色。本文首先对APT28的背景进行解读,然后从技术角度深度分析该间谍软件,从挖掘出的病毒特征证实该样本出自APT28之手。最后提供了YARA规则用于判定此类病毒。 1. APT28解读 APT28被证实是俄罗斯政府支持的组织[4],该组织由经验丰富的开发人员和黑客组成,主要收集国防和地缘政治方面的情报,该组织相关攻击时间最早可以追溯到 2007 年。
发布时间:2017-02-27 09:25 | 阅读:226948 | 评论:0 | 标签:安全报告 APT28

又一零日漏洞被APT28利用攻击各国政府及军方机构

一个以政府、军方和媒体机构为目标的网络间谍组织,使用了甲骨文一个没有补丁的Java漏洞发动攻击。  这个零日漏洞的利用程序最近被趋势科技的研究人员发现,该程序用来攻击北约一个成员国的军队和美国国防机构。这个名为APT28或 Pawn Storm的网络间谍组织,至少从2007年起就开始活动。一些安全厂商认为,这个组织是由俄罗斯操纵的,并与该国的情报机关有联系。该组织以欧洲、亚洲和中东地区的政府、北约成员国、国防承包商及媒体机构为目标,这些受攻击的目标均收到了鱼叉式钓鱼邮件,其中包含指向这个零日漏洞的恶意链接。
发布时间:2015-07-15 16:10 | 阅读:112716 | 评论:0 | 标签:动态 安全警报 apt28 Java 8 Pawn Storm 零日漏洞 漏洞

Win32k 特权提升漏洞(CVE-2015-1701)利用exp

  Win32k 特权提升漏洞 – CVE-2015-1701 如果 Win32k.sys 内核模式驱动程序不正确地处理内存中的对象,则存在一个特权提升漏洞。 成功利用此漏洞的攻击者可以运行内核模式中的任意代码。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 该更新通过更正 Windows 内核模式驱动程序处理内存中对象的方式来解决漏洞。 要利用此漏洞,攻击者必须先登录到系统。 然后,攻击者可以运行一个为利用此漏洞而特制的应用程序,从而完全控制受影响的系统。 此漏洞已公开披露。
发布时间:2015-05-14 09:05 | 阅读:280379 | 评论:0 | 标签:内网渗透 APT28 CVE-2015-1701 MS15-051 Operation RussianDoll prob

APT28使用两个零日漏洞入侵他国政府机关

去年曝光的俄罗斯黑客组织APT28,被发现者火眼公司描述为一个技术高超的收集国防和地理政治情报的并由俄罗斯政府支持的网络间谍活动小组。近日,火眼公司又披露了该小组的一些详细信息。火眼声称,于4月13日检测到了该小组发起的攻击使用了两个零日漏洞,包括一个Flash漏洞(CVE-2015-3043)和一个Windows漏洞(CVE-2015-1701)。通过对其C2(命令控制服务器)的技术分析,火眼认为APT28就是一场名为“俄罗斯套娃”行动的实施者。尽管使用了两个零日漏洞,攻击者也没有成功侵入目标。
发布时间:2015-04-21 20:25 | 阅读:122792 | 评论:0 | 标签:动态 apt28 火眼 零日漏洞 漏洞

俄罗斯黑客利用系统漏洞窃取信息

上周六,美国网络安全公司FireEye公司声明黑客是利用Flash软件和Windows操作系统的漏洞来窃取信息的。这些黑客入侵了美国国务院,他们也被怀疑入侵过白宫,FireEye协助查探这些入侵者,称不能断言这跟入侵白宫的是同一批黑客。 Adobe于上周二发布一个对抗安全隐患的修复,微软相对而言风险较小,但也在修复当中。FireEye于去年10月发现一个叫做“APT28”的黑客组织,而安全公司Trend Micro于前几天发现一个“Pawn Storm”的组织,由于这两个组织使用工具、方法、对抗目标有相同点,所以信息安全人员推断他们是同一黑客组织。
发布时间:2015-04-20 14:55 | 阅读:95645 | 评论:0 | 标签:业界 APT28 FireEye 俄罗斯 漏洞

ADS

标签云