卡巴斯基:StrongPity团伙针对加密软件进行APT攻击

        卡巴斯基实验室发现近期名为StrongPity的APT团伙针对使用加密软件如TrueCrypt和WinRAR的用户进行攻击。
        卡巴斯基实验室人员表示，该团伙已活跃多年，但之前主要利用0day漏洞攻击目标，监控目标及其活动。
        而近期检测到的攻击方法是该团伙之前从未使用过的。
        针对使用加密软件的用户
        卡巴斯基发现该团伙使用了水坑攻击和有问题的安装包。因为使用了加密软件的用户通常很难攻击。
        水坑攻击是指黑客通过分析被攻击者的网络活动规律，寻找被攻击者经常访问的网站的弱点，先攻下该网站并植入攻击代码，等待被攻击者来访时实施攻击。水坑攻击已经成为APT攻击的一种常用手段。

 

        该团伙已对两款加密软件进行了攻击。首先是WinRAR，这是一款具有压缩文件功能的软件包，同时也可以允许用户使用AES算法加密数据，将数据锁定在有密码保护的RAR文件中。
        另一款是TrueCrypt，它是一款全磁盘加密工具，能够将硬盘中的所有文件锁定。两年前这款软件包还非常受欢迎，但自从开发人员表示这款软件并不安全，建议用户使用其他工具后，多数用户已弃用。
        将恶意软件链接到合法网站
        卡巴斯基表示StrongPity已注册了与rarlab.com官方网站非常相似的域名ralrab.com，WinRAR开发人员正是通过rarlab.com发布软件。
        他们将WinRAR的恶意版本链接到虚假域名ralrab.com上诱骗用户。WinRAR的恶意版本开有木马后门，允许StrongPity成员监视安装了被感染软件包的用户。
        这起事件发生在2016年5月，但不止于此，2016年9月，他们将想要下载TrueCrypt软件的用户从Tamindir软件下载页面重定向至由攻击者控制的网址true-crypt.com。

 

         该页面的TrueCrypt版本也存在后门木马，能够允许攻击者访问用户的系统，窃取或者拦截数据。
         由于木马存在于WinRAR和TrueCrypt包中，因此攻击者可以访问加密数据，这在之前的攻击中没有出现过。
         据卡巴斯基透露，被攻击的用户分布在意大利、土耳其、比利时、阿尔及利亚和法国，但StrongPity的后门木马在整个欧洲、非洲和中东都已被检测到。研究人员表示近期被StrongPity攻击的系统已超过1000个。