卡巴斯基实验室上周五报道称,一个与俄罗斯有关的网络间谍组织正在利用新工具针对全球国防承包商和其它高级别目标发动攻击。
攻击组织名为“兵风暴”、“锶”、APT28、Sofacy、Sednit和“花哨熊”,自2007年以来一直针对来自全球各地的军事、媒体、国防和政府组织发动攻击。北约国家曾成为其攻击目标,不过研究人员最近还发现针对乌克兰的网络攻击有所上上。
“兵风暴”因利用0day漏洞攻击Adobe Flash播放器、Java、微软Office和Windows而为人所知。攻击者还利用大量工具实现攻击目标,包括后门SPLM和AZZY,以及专门从空隙系统窃取数据的USB工具。
截止到八月份,“兵风暴”利用0day漏洞通过JHUHUGIT和JKEYSKW第一阶段的植入嘎然系统。8月份,卡巴斯基研究员发现了一个新型的 AZZY木马。该木马最近现身于10月份的攻击中,它是由一款非0day漏洞的利用传播的。跟其它变体不同的地方还在于,这个新型AZZY后门利用外部库 来进行命令和控制服务器通信。
“兵风暴”还更新了其数据窃取工具。用于从隔离网络中窃取数据的USB窃取模块首次更新于2015年2月份,而最新版本已于2015年5月份完成编 制,目的是监控受感染设备并从中收集特殊文件。这些文件被复制到一个隐藏的文件夹中,而攻击者从中可通过利用AZZY后门提取数据。
“兵风暴”似乎还对马来西亚失事飞机MH17感兴趣。趋势科技支出,攻击者者曾针对调查该事件的组织机构发动攻击。