根据卡巴斯基实验室安全研究员Kurt Baumgartner在Virus Bulletin发表的一篇文章,一个名为StrongPity的隐秘网络攻击组织在今年夏天将大量加密软件用户引诱到自己设置的水坑和受感染安装程序
根据卡巴斯基实验室安全研究员Kurt Baumgartner在Virus Bulletin发表的一篇文章,一个名为StrongPity的隐秘网络攻击组织在今年夏天将大量加密软件用户引诱到自己设置的水坑和受感染安装程序。其中,意大利和比利时的用户遭受攻击最为严重,同时土耳其、北非和中东地区也有部分用户遭受感染。
StrongPity是一种对加密数据和通讯感兴趣,并且技术能力较强的高级可持续性威胁。过去几个月,卡巴斯基实验室发现该威胁针对寻找两种常用加密工具的用户的攻击强度显著增强,这两种工具分别为WinRAR和TrueCrypt系统加密软件。
StrongPity恶意软件所包含的组件能够让攻击者完全控制受害者系统,从而窃取磁盘内容,下载额外的模块收集通讯信息和联系人信息。卡巴斯基实验室迄今为止检测到对StrongPity网站的访问,并且发现有超过一千台受感染系统中包含StrongPity组件。
水坑和被感染的安装程序
为了诱使用户上当,攻击者会制作假冒的网站。例如,他们会调换网站域名,欺骗用户,让用户认为他们所制作的网站是WinRAR软件的合法网站。之后,他们会在比利时的WinRAR下载网站放一个指向恶意域名的显眼链接,利用恶意域名替换“推荐”链接。当用户访问这一网站时,会下载到被StrongPity感染的安装程序。卡巴斯基实验室发现首次成功重定向发生于2016年5月28日。
几乎在同时,卡巴斯基实验室于5月24日在意大利的WinRAR下载网站上发现恶意行为。在这些攻击中,用户并不会被重定向到假冒网站,而是下载网站直接提供的就是被StrongPity恶意软件所感染的安装程序。
StrongPity还会将用户从常用的软件分享网站重定向到包含木马的TrueCrypt安装程序。截止到9月底,这种行为仍然在继续。
目前,WinRAR下载网站上的恶意链接已经被移除,但是,假冒的TrueCrypt下载网站到9月底仍然存在。
受感染用户的地理分布
卡巴斯基实验室的数据显示,在感染行为发生的一个星期内,通过意大利的下载网站传播的恶意软件已经遍及欧洲、北非/中东地区的数百台系统,而且可能还有更多感染没有被发现。今年夏天,遭受这种威胁影响最严重的国家为意大利(87%)、比利时(5%)和阿尔及利亚(4%)。通过比利时被感染网站遭受攻击的用户分布与意大利相似,在超过60次的成功攻击中,有一半(54%)的受害者位于比利时。
通过假冒的TrueCrypt下载网站进行的攻击在2016年5月明显增加,其中95%的受害者都位于土耳其。
“该攻击组织使用的攻击技巧非常巧妙。他们的攻击手段同2014年初Crouching Yeti/Energetic Bear高级可持续性威胁所使用的手段相似,都涉及利用木马感染合法的应用于工业控制系统的软件安装程序以及入侵真正的下载网站。这种攻击策略是一种危险的趋势,安全行业需要想办法应对。用户为了获取隐私和数据完整性时,不应当落入这种水坑攻击的陷阱。水坑攻击本质上无法做到精确攻击,我们希望这次的案例能够激发讨论,解决这种需求,改进加密工具传输的验证手段,”卡巴斯基实验室首席安全研究员Kurt Baumgartner说。
卡巴斯基实验室产品将StrongPity组件检测为:HEUR:Trojan.Win32.StrongPity.gen 和Trojan.Win32.StrongPity.*以及其他通用检测结果。
想要了解更多有关StrongPity水坑攻击详情,请阅读Securelist.com上的博文。
要了解有关消除受感染加密软件的威胁,请浏览Kaspersky Business.
想要了解更多有关卡巴斯基实验室APT情报报告服务详情,请访问:http://www.kaspersky.com/enterprise-security/apt-intelligence-reporting.