俄罗斯APT28组织新型Outlook后门GONEPOSTAL:利用电子邮件构建隐蔽C2通道
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
网络安全公司Kroll发现俄罗斯APT28组织利用名为GONEPOSTAL的恶意Outlook宏后门进行间谍活动。该恶意软件通过DLL侧加载和VBA宏引擎建立隐蔽的命令控制通道。APT28与俄罗斯军方情报机构有关,曾参与多起重大网络攻击。此攻击手法利用合法电子邮件流量,企业需关注异常的Outlook宏活动和注册表修改。
🎯
关键要点
-
网络安全公司Kroll发现APT28组织利用GONEPOSTAL恶意Outlook宏后门进行间谍活动。
-
该恶意软件通过DLL侧加载和VBA宏引擎建立隐蔽的命令控制通道。
-
APT28与俄罗斯军方情报机构GRU有关,曾参与多起重大网络攻击。
-
攻击技术利用合法电子邮件流量,企业需关注异常的Outlook宏活动和注册表修改。
-
恶意软件通过修改Windows注册表强制Outlook加载恶意宏,形成隐蔽访问方式。
-
企业应重点监控异常的Outlook宏活动、可疑的注册表修改和非常规的电子邮件收发模式。
❓
延伸问答
GONEPOSTAL恶意软件的主要功能是什么?
GONEPOSTAL恶意软件主要功能包括远程文件操作、PowerShell命令执行和隐蔽文件传输。
APT28组织与哪个国家的军方情报机构有关?
APT28组织与俄罗斯军方总参谋部情报总局(GRU)有关。
GONEPOSTAL是如何利用电子邮件进行隐蔽命令控制的?
GONEPOSTAL通过修改Windows注册表强制Outlook加载恶意宏,从而利用电子邮件服务作为隐蔽的命令控制通道。
企业应如何防范GONEPOSTAL恶意软件的攻击?
企业应重点监控异常的Outlook宏活动、可疑的注册表修改和非常规的电子邮件收发模式。
GONEPOSTAL恶意软件是如何隐藏其活动的?
GONEPOSTAL通过伪装成正常邮件的编码附件外传数据,并清除处理过的C2邮件痕迹,隐藏其活动。
APT28组织在网络攻击中有哪些著名事件?
APT28组织曾参与2016年民主党全国委员会数据泄露、国际奥委会入侵及挪威议会攻击等事件。
➡️
