Promethium APT 攻擊激增，發現了新的特洛伊木馬安裝程序

StrongPity背后的黑客組織在尋求全球情報和監控的過程中，忽略了研究人員的不斷曝光。

Promethium是一個威脅組織，也被稱為StrongPity，它在新一輪的攻擊中被追蹤到，并且它部署了一個安裝程序的擴展列表，這些安裝程序濫用合法的應用程序。

自2002年左右開始活躍的Promethium高級持續威脅(APT)組織，一次又一次地被安全研究人員和民權組織揭露，他們進行與政治目標相關的大量監視和情報收集活動。

典型的情況是，Promethium一直專注于針對土耳其和敘利亞，盡管該組織過去也涉足過意大利和比利時。

在新的獨立報告中顯示，Cisco Talos 和 BitDefender (.PDF)公司的研究人員不僅揭示了在打擊名單上的新的國家，而且還升級了武器庫，該武器庫是指威脅受害者的機器。

Talos 跟蹤了大約30臺新的屬于Promethium的指揮控制(C2)服務器，這些服務器與該組織的監控惡意軟件StrongPity3的一種進化形式有關，該軟件也被認為與國家贊助有關。

為了隱藏間諜軟件的活動，BitDefender說，該小組追蹤的C2網絡有三個基礎設施層，包括使用代理服務器、VPNs、接收轉發數據的IP地址等。該團隊總共映射了47臺具有不同功能的服務器。

據Talos稱，現在目標國家名單包括哥倫比亞、印度、加拿大和越南。BitDefender的報告指出了位于土耳其和敘利亞邊境以及伊斯坦布爾附近的目標，該小組表示，“這些威脅目標可能與土耳其和庫爾德社區之間的地緣政治沖突有關。”

為了感染更多的受害者，APT通過使用新的特洛伊安裝文件來增強其工具包，該安裝文件旨在部署強大的間諜軟件。

這些文件包括火狐瀏覽器的土耳其語版本、DriverPack和5kPlayer惡意文件，但可能還有其他文件。

特洛伊木馬文件將把合法的應用程序和惡意軟件一起安裝在受損的機器上，以避免被發現，并防止在受害者的預期軟件沒有實現時引發懷疑。

在檢查與威脅因素相關的安裝程序時，BitDefender注意到惡意軟件下載者的編譯時間顯示正常工作時間，這可能表明該活動涉及到付費開發團隊。

StrongPity3與之前版本StrongPity2的主要區別在于，在執行C2請求時，從libcurl切換到winhttp，并且持久性機制從注冊表項轉變為服務。APT的最新攻擊模式遵循監視趨勢，并對在受損機器上檢測到的任何微軟辦公文件進行過濾。

盡管Talos團隊無法追蹤最初的攻擊媒介，但研究人員表示，這些文件可能會通過水坑攻擊或路徑請求攔截(由互聯網服務提供商執行HTTP重定向)進行登錄，正如CitizenLab在2018年關于Promethium活動的報告中所描述的那樣。

CitizenLab的報告記錄了在土耳其和敘利亞使用Sandvine/Procera Networks深度數據包檢測(DPI)設備攔截流量和發送惡意軟件，以及在埃及進行惡意廣告和秘密開采加密貨幣的情況。

“多年來，Promethium一直很活躍，” Talos說。“它的活動已經被曝光了幾次，但這還不足以讓背后的行動者停止行動。事實上，即使在被曝光后，該組織也沒有停止發起新的運動，這表明他們下定決心要完成自己的使命。”