黑客组织Sofacy APT使用新型木马攻击全球多个政府机构

网络安全公司Palo Alto Networks的研究人员在10月底和11月初发现了一个新的攻击活动。与俄罗斯有关的黑客组织Sofacy APT在最近针对全球政府实体的攻击中使用了一种新的木马Cannon。

Sofacy APT又名APT28，Pawn Storm，Fancy Bear，Sednit，Tsar Team和Strontium，曾被指策划了针对2016年美国总统大选的网络攻击。

在本周二发布的一份报告中，Palo Alto Networks的研究人员透露，这个与俄罗斯有关的APT组织在针对北美、欧洲和一个前苏联成员国的政府实体的鱼叉式网络钓鱼攻击中使用了新的攻击工具Cannon。

攻击者通过鱼叉式网络钓鱼电子邮件发送恶意Word文档。打开时，文档将加载包含恶意宏和有效载荷的远程模板。

这些攻击的新颖之处在于使用了之前从未见过的工具，攻击者还使用了一种不常见的技术来传递恶意软件并避免在沙箱中运行。

“一旦受害者按下启用内容按钮，就会执行嵌入式宏。 攻击者对宏使用了AutoClose函数，这意味着只有在用户关闭文档时恶意代码才会执行。一旦执行，宏将安装有效负载并将文档保存到系统中。“Palo Alto Networks发布的分析报告中写道。

Cannon充当下载器，依赖电子邮件与C2服务器通信并接收指令。该工具实现了多种功能，包括提高持续性和创建唯一的系统标识符，收集系统信息，抓取桌面快照，登录POP3电子邮件帐户访问附件。

“Cannon的总体目的是使用多个电子邮件帐户窃取数据，并最终从电子邮件中获取有效载荷，”研究人员解释说。

APT28在这一时期似乎非常活跃，Cannon并不是其武器库中唯一的新工具，Cybaze ZLab – Yoroi团队最近发现了臭名昭着的APT28 Lojax（又名Double-Agent）的新变种。 它是著名的rootkit Double-Agent的最新版本，安全公司ESET的研究人员曾对此进行过研究分析。

原文链接：https://securityaffairs.co/wordpress/78268/apt/sofacy-apt-cannon.html