转载

预警：兵风暴（Pawn Storm）网络间谍活动正在转移目标

近日趋势科技（ Trend Micro ）发布报告称，网络间谍活动“兵风暴（Pawn Storm）”正在转移目标，最新的目标瞄准了土耳其高级官员。

APT简介与兵风暴

APT攻击是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集，一般针对政府部门或大型企业，而在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。

一般APT攻击分三个阶段，在初始感染阶段一般攻击者发送恶意软件电子邮件给一个组织内部的收件人，或者攻击者感染一个组织中用户经常通过DNS访问的网站当然攻击者也可以通过一个直连物理连接感染网络，一旦进入组织内部，通常情况下恶意软件执行的第一个重要操作就是使用DNS从一个远程服务器上下载真实的APT。一旦下载和安装之后，APT会禁用运行在已感染计算机上的反病毒软件或类似软件。接下来APT通常会收集一些基础数据，然后使用DNS连接一个命令与控制服务器，接收下一步的指令。最后进行目标数据盗取，APT通常会直接连接另一个服务器，将它作为数据存储服务器，将所有盗取的数据上传到这个服务器中。最后这个阶段一样会使用DNS。

早前趋势科技就曾发现 Pawn Storm 利用 Adobe Flash 漏洞对全球展开攻击，受影响的漏洞版本 Adobe Flash Player 19.0.0.185 及 19.0.0.207 这两个版本，多个国家的外交部成为攻击的目标。

Pawn Storm背后的组织被怀疑与俄罗斯政府有关，这个组织从2007年开始运作。其主要目标包括国防工业、军队、政府组织和媒体。早前也曾被怀疑与北大西洋公约组织网络攻击事件有关。Pawn Storm组织在2015年第一季度有大量的活动，建立了大量的exploit URL和新的C&C服务器，用于攻击NATO成员国和欧洲、亚洲、中东政府。目前有许多安全厂商怀疑其与俄罗斯政府有关，而早前也曾被怀疑秘密调查MH17事件。

预警：兵风暴（Pawn Storm）网络间谍活动正在转移目标

报告中指出：

“Pawn Storm 已经瞄准了几类目标，包括记者、外交官、军队以及一些软件开发人员等。而早前土耳其与俄罗斯在很多问题上出现分歧，在2015年土耳其还曾击落过俄罗斯战机。”

网络活动加剧

报告中还表明，目前主要是通过发送钓鱼邮件，重定向用户至伪造的OWA(Microsoft Outlook Web Access)登录页面，同时利用社会工程学使得受害者放弃电子邮件证书并提供虚假服务器，而这种方式相对实用价值很高，窃取敏感信息也很实用。随着时间的推移，在土耳其境内发现了如下虚假OWA服务器地址，土耳其大国民议会、土耳其报纸Hürriyet、土耳其总理办公室等。而土耳其总理办公室网站等政府网站就曾遭叙利亚网军入侵，黑客在首页进行涂鸦，随后还在网络公布了叙利亚外交部、内政部等网站工作人员的信息。

而在对土耳其的网络攻击中，Pawn Storm利用了荷兰的基础网络设施。他们似乎在阿拉伯联合酋长国找到了一个vps服务商提供邮件服务同时还利用荷兰一家数据中心为其提供服务。

扩展阅读：

趋势科技：俄罗斯“兵风暴（Pawn Storm）”网络间谍行动仍在继续

APT组织PawnStorm利用最新Flash零日漏洞攻击各国外交部

新痛点：APT组织PawnStorm 0Day如何绕过Java点击播放保护

俄罗斯间谍组织Pawn Storm新武器：Linux Fysbis木马

*参考来源： softpedia 、 trendmicro ，FB小编亲爱的兔子编译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）

原文 http://www.freebuf.com/news/98451.html

正文到此结束