Bugbug操作攻击者使用保管箱存储被盗数据
目录:
攻击者通过监视PC麦克风在乌克兰传播网络间谍活动,以便秘密收听私人对话并将所窃取的数据存储在Dropbox上。 该攻击被称为Operation BugDrop,主要针对关键基础设施,媒体和科学研究人员。
网络安全公司CyberX证实了这次袭击,并称“ BugDrop行动”已在乌克兰各地袭击了至少70名受害者。 据CyberX称,直到2016年6月才开始进行网络间谍活动。 该公司表示:
该行动试图从目标中捕获一系列敏感信息,包括对话的录音,屏幕快照,文档和密码。 与视频记录不同,用户通常只是将胶带贴在相机镜头上,而视频记录通常会被用户阻止,实际上,如果不物理访问和禁用PC硬件,就不可能阻止计算机的麦克风。
目标和方法
BugDrop操作目标的一些示例包括:
- 为石油和天然气管道基础设施设计远程监控系统的公司。
- 一个国际组织,负责监督乌克兰关键基础设施的人权,反恐和网络攻击。
- 一家工程公司,设计变电站,气体分配管道和供水设备。
- 科学研究所。
- 乌克兰报纸的编辑。
更具体地说,这次袭击针对的是乌克兰分离主义顿涅茨克州和卢甘斯克州的受害者。 除Dropbox之外,攻击者还使用以下高级策略:
- 反射DLL注入是一种用于注入恶意软件的高级技术,BlackEnergy也曾在乌克兰电网攻击中使用过这种技术,Duqu在对伊朗核设施的Stuxnet攻击中也曾使用过这种技术。 反射DLL注入无需调用常规Windows API调用即可加载恶意代码,从而在将代码加载到内存之前绕过了代码的安全验证。
- 加密的DLL,因为它们无法分析加密的文件,因此避免了常见的防病毒和沙箱系统的检测。
- 合法的免费Web托管站点及其命令和控制基础结构。 C&C服务器是攻击者的潜在陷阱,因为调查人员通常可以使用通过免费工具(例如whois和PassiveTotal)获得的C&C服务器的注册详细信息来识别攻击者。 另一方面,免费的Web托管站点几乎不需要注册信息。 BugDrop行动使用免费的虚拟主机网站来存储下载到受感染受害者的核心恶意软件模块。 相比之下,Groundbait攻击者为自己的恶意域和IP地址注册并支付了费用。
根据CyberX的报道,BugDrop行动在很大程度上模仿了Groundbait行动,该行动于2016年5月被发现,针对的是亲俄罗斯的个人。