卡巴斯基: StrongPity APT团伙针对加密软件用户发动水坑式攻击

E安全10月12日讯 卡巴斯基发布报告称，近期名为StrongPity APT团伙主要针对意大利和比利时用户发动水坑式攻击。

卡巴斯基实验室表示，该团伙十分复杂，其操作利用水坑式攻击和恶意软件将目标瞄向加密数据和通信的软件用户。

StrongPity APT针对欧洲、中东和非洲北部的用户

StrongPity创建了网站ralrab.com（模仿合法rarlab.com合法网站），作为传播热门软件中毒软件包的着陆域名。该团伙曾攻击欧洲认证经销商的网站，企图将用户重定向至合法应用被被感染的网站ralrab.com。

StrongPity团伙建立了一个TrueCrypt网站，其托管在true-crypt.com上，用来重定向软件下载网站Tamindir的用户。卡巴斯基报告指出，StrongPity于2015年底开始进行TrueCrypt为主题的水坑式攻击，但该公司的专家注意到今年夏天攻击数量达到峰值。这起攻击的大多数受害者位于土耳其和荷兰。

合法网站winrar.it的意大利访客被重定向至被感染的WinRAR安装包。

报告指出，“过去一个多星期，从winrar.it传送的恶意软件出现在欧洲和非洲北部/中东超过600个系统上，许多经证实被感染。受感染最多的国家为意大利、比利时和阿尔及利亚。5月25日至6月初，在winrar.it 网站受StrongPity感染最高的国家时意大利、比利时、阿尔及利亚、科特迪瓦、摩洛哥、法哥和突尼斯。”

StrongPity APT使用的工具中，有多个组件允许攻击者完全控制目标系统并有效从设备渗漏数据。卡巴斯基表示，该团伙使用的病毒生成器通常签署有不同寻常的的数字证书常。

报告指出，“当统计2016年以来，所有被StrongPity组件或病毒生成器感染的系统时，我们看到波及范围很广。数据包括被StrongPity组件感染的超过1000个系统。前五大被感染的国家包括意大利、土耳其、比利时、阿尔及利亚和法国。”

该团伙使用了查找加密软件套件的组件，包括SSH、远程登录客户端Putty、FTP工具FileZilla、远程连接管理器mRemoteNG、Microsoft远程桌面客户端Mstsc以及SFTP和FTP客户端WinSCP。

攻击者使用以下攻击手段感染受害者：

o 鱼叉式网络钓鱼 使用嵌入flash漏洞利用（CVE-2011-0611）的PDF文档

o 被木马感染的软件安装包

o 使用各种重用漏洞利用进行水坑式攻击。

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com