“地球盧斯卡”向全球發(fā)起網(wǎng)絡攻擊

利北晶

一個被追蹤為Earth Lusca的復雜且難以捉摸的威脅行為者出于財務目的，通過魚叉式網(wǎng)絡釣魚和水坑攻擊將全球政府和私人組織作為目標。

據(jù)安全公司稱，該組織出于經(jīng)濟動機，其網(wǎng)絡間諜活動打擊了高價值目標，例如政府和教育機構(gòu)、宗教運動、新型冠狀病毒研究組織、賭博、加密貨幣公司和媒體。

Winnti組織于2013年首次被卡巴斯基發(fā)現(xiàn)，但據(jù)研究人員稱，該組織自2007年以來一直活躍。專家們認為，在Winnti旗下有幾個APT組，包括Winnti，Gref，PlayfullDragon，APT17，DeputyDog，Axiom，BARIUM，LEAD，PassCV，Wicked Panda，Group 72，Blackfly，APT41，ShadowPad。

APT小組針對各個行業(yè)的組織，包括航空、游戲、制藥、技術(shù)、電信和軟件開發(fā)行業(yè)。研究人員將地球盧斯卡的基礎(chǔ)設(shè)施分為兩個“集群”。第一個集群是使用租用的虛擬專用服務器（VPS）建立的，用于水坑和魚叉式網(wǎng)絡釣魚攻擊。

第二個集群由運行易受攻擊版本的Oracle GlassFish Server的受感染服務器組成，主要用于掃描面向公眾的服務器中的漏洞，并在目標網(wǎng)絡內(nèi)建立流量隧道。2個集群都充當C&C服務器。

根據(jù)遙測數(shù)據(jù)顯示，Earth Lusca發(fā)送魚叉式網(wǎng)絡釣魚電子郵件，其中包含指向其目標媒體公司的惡意鏈接。這些鏈接包含的文件偽裝成潛在目標可能感興趣的文件，或者偽裝成來自另一家媒體組織的意見表。根據(jù)趨勢科技發(fā)布的分析，用戶最終會下載一個包含惡意LNK文件或可執(zhí)行文件的存檔文件———最終導致Cobalt Strike加載程序。

據(jù)了解，威脅參與者在受感染的網(wǎng)絡中部署了Cobalt Strike，以及一組額外的惡意軟件和Web Shell，該組織還在其運營中使用了其他工具，例如加密貨幣礦工。

在研究人員分析的一次攻擊中，威脅參與者將惡意腳本注入目標組織的受感染人力資源系統(tǒng)中。該腳本顯示社交工程消息，例如Flash更新彈出窗口或DNS錯誤，并嘗試誘騙受害者下載惡意文件并部署Cobalt Strike加載程序。

有證據(jù)表明，地球盧斯卡是一個高技能和高危險的威脅行為者，主要受網(wǎng)絡間諜活動和經(jīng)濟利益的驅(qū)使。該組織主要依靠久經(jīng)考驗的技術(shù)來誘捕目標，雖然這有其優(yōu)勢（這些技術(shù)已被證明是有效的），但它也意味著安全最佳實踐，例如避免點擊可疑的電子郵件/網(wǎng)站鏈接和更新重要的面向公眾的應用程序，可以最大限度地減少影響，甚至停止地球盧斯卡襲擊。

3151501908277