狡猾的“地球盧斯卡”向全球政府和私人組織發起網絡攻擊
一個被追蹤為Earth Lusca的復雜難以捉摸的威脅行為者出于財務目的,通過魚叉式網絡釣魚和水坑攻擊將全球政府和私人組織作為目標。
據安全公司稱,該組織出于經濟動機,其網絡間諜活動打擊了高價值目標,例如政府和教育機構、宗教運動、新型冠狀病毒研究組織、賭博、加密貨幣公司和媒體。
Winnti組織于2013年首次被卡巴斯基發現,但據研究人員稱,該組織自2007年以來一直活躍。專家們認為,在 Winnti 旗下有幾個APT 組,包括 Winnti、Gref、PlayfullDragon、APT17、 DeputyDog、Axiom、 BARIUM、LEAD、 PassCV、Wicked Panda、Group 72、Blackfly、APT41 和 ShadowPad。
APT小組針對各個行業的組織,包括航空、游戲、制藥、技術、電信和軟件開發行業。研究人員將地球盧斯卡的基礎設施分為兩個“集群”。第一個集群是使用租用的虛擬專用服務器 (VPS) 建立的,用于水坑和魚叉式網絡釣魚攻擊。
第二個集群由運行易受攻擊版本的 Oracle GlassFish Server 的受感染服務器組成,主要用于掃描面向公眾的服務器中的漏洞,并在目標網絡內建立流量隧道。兩個集群都充當 C&C 服務器。
根據遙測數據顯示,Earth Lusca 發送魚叉式網絡釣魚電子郵件,其中包含指向其目標媒體公司的惡意鏈接。這些鏈接包含的文件偽裝成潛在目標可能感興趣的文件,或者偽裝成據稱來自另一家媒體組織的意見表。閱讀趨勢科技發布的分析。用戶最終會下載一個包含惡意 LNK 文件或可執行文件的存檔文件——最終導致 Cobalt Strike 加載程序。
觀察到威脅參與者在受感染的網絡中部署了Cobalt Strike,以及一組額外的惡意軟件和 Web Shell。該組織還在其運營中使用了其他工具,例如加密貨幣礦工。
在研究人員分析的其中一次攻擊中,威脅參與者將惡意腳本注入目標組織的受感染人力資源系統中。該腳本顯示社交工程消息,例如 Flash 更新彈出窗口或 DNS 錯誤,并嘗試誘騙受害者下載惡意文件并部署 Cobalt Strike 加載程序。
有證據表明,地球盧斯卡是一個高技能和危險的威脅行為者,主要受網絡間諜活動和經濟利益的驅使。然而,該組織仍然主要依靠久經考驗的技術來誘捕目標,雖然這有其優勢(這些技術已被證明是有效的),但它也意味著安全最佳實踐,例如避免點擊可疑的電子郵件/網站鏈接和更新重要的面向公眾的應用程序,可以最大限度地減少影響——甚至停止——地球盧斯卡襲擊。
