新闻快讯
< >

俄黑客组织APT28被指劫持LoJack软件窃取数据

E安全5月4日讯 网络安全和管理解决方案提供商 Arbor Networks 公司的安全研究员发现,合法的防盗/寻回软件 LoJack 似乎被偷偷修改,便于黑客潜伏在企业内部网络执行恶意活动。研究人员称,在被感染的 LoJack 实例中发现的域名似乎与俄罗斯黑客组织 APT28 此前的其它黑客行动有关。

APT28被指劫持LoJack软件-E安全

LoJack 是一款应用程序,企业或用户可将其安装在设备上(笔记本电脑、平板电脑和智能手机)作信标使用,设备所有者可在设备被盗的情况下追踪并定位设备。

攻击者利用 LoJack实现持久性

研究人员发现,LoJack 应用程序的二进制被人动过手脚,将 LoJack 代理指向恶意命令与控制(C&C)服务器,这意味着,LoJack 原本应向 LoJack 中心服务器发送的信息被发送至了受黑客组织 APT28 控制的服务器,并且接收该服务器发出的指令。

鉴于 LoJack 代理的构建方式,攻击者可访问一款带有内置持续系统的软件,不仅能让 LoJack 不受系统重装和硬盘替换的影响,还能够在目标系统上以最高的权限执行任意代码。执行任意代码的功能可让 APT28 的操纵者下载其它恶意软件,搜索敏感数据,将被盗的数据泄露给远程服务器,清除日志,甚至损坏受感染的计算机。

如果只对 LoJack 二进制稍作修改(比如只修改某个配置文件),大多数反病毒软件并无法将这些被感染的版本界定为恶意软件。

研究人员表示,由于反病毒检测率低,攻击者能够明目张胆地隐藏可执行文件,攻击者只需部署一台能够模拟 LoJack 通信协议的 C&C 服务器即可。

或通过鱼叉式网络钓鱼邮件传播

研究人员表示没有找到证明 APT28 使用 LoJack 入侵受害者系统并窃取数据的证据,但他们仍然坚持存在这种可能性,并且认为黑客使用了鱼叉式钓鱼邮件诱骗受害者将恶意 LoJack 版本安装到系统中。

研究人员认为, APT28 可能受到了2014年黑帽大会的启发后才使用 LoJack 软件作为持久化模块化后门。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。