利北晶

一個(gè)被追蹤為Earth Lusca的復(fù)雜且難以捉摸的威脅行為者出于財(cái)務(wù)目的，通過(guò)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)和水坑攻擊將全球政府和私人組織作為目標(biāo)。

據(jù)安全公司稱(chēng)，該組織出于經(jīng)濟(jì)動(dòng)機(jī)，其網(wǎng)絡(luò)間諜活動(dòng)打擊了高價(jià)值目標(biāo)，例如政府和教育機(jī)構(gòu)、宗教運(yùn)動(dòng)、新型冠狀病毒研究組織、賭博、加密貨幣公司和媒體。

Winnti組織于2013年首次被卡巴斯基發(fā)現(xiàn)，但據(jù)研究人員稱(chēng)，該組織自2007年以來(lái)一直活躍。專(zhuān)家們認(rèn)為，在Winnti旗下有幾個(gè)APT組，包括Winnti，Gref，PlayfullDragon，APT17，DeputyDog，Axiom，BARIUM，LEAD，PassCV，Wicked Panda，Group 72，Blackfly，APT41，ShadowPad。

APT小組針對(duì)各個(gè)行業(yè)的組織，包括航空、游戲、制藥、技術(shù)、電信和軟件開(kāi)發(fā)行業(yè)。研究人員將地球盧斯卡的基礎(chǔ)設(shè)施分為兩個(gè)“集群”。第一個(gè)集群是使用租用的虛擬專(zhuān)用服務(wù)器（VPS）建立的，用于水坑和魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊。

第二個(gè)集群由運(yùn)行易受攻擊版本的Oracle GlassFish Server的受感染服務(wù)器組成，主要用于掃描面向公眾的服務(wù)器中的漏洞，并在目標(biāo)網(wǎng)絡(luò)內(nèi)建立流量隧道。2個(gè)集群都充當(dāng)C&C服務(wù)器。

根據(jù)遙測(cè)數(shù)據(jù)顯示，Earth Lusca發(fā)送魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件，其中包含指向其目標(biāo)媒體公司的惡意鏈接。這些鏈接包含的文件偽裝成潛在目標(biāo)可能感興趣的文件，或者偽裝成來(lái)自另一家媒體組織的意見(jiàn)表。根據(jù)趨勢(shì)科技發(fā)布的分析，用戶(hù)最終會(huì)下載一個(gè)包含惡意LNK文件或可執(zhí)行文件的存檔文件———最終導(dǎo)致Cobalt Strike加載程序。

據(jù)了解，威脅參與者在受感染的網(wǎng)絡(luò)中部署了Cobalt Strike，以及一組額外的惡意軟件和Web Shell，該組織還在其運(yùn)營(yíng)中使用了其他工具，例如加密貨幣礦工。

在研究人員分析的一次攻擊中，威脅參與者將惡意腳本注入目標(biāo)組織的受感染人力資源系統(tǒng)中。該腳本顯示社交工程消息，例如Flash更新彈出窗口或DNS錯(cuò)誤，并嘗試誘騙受害者下載惡意文件并部署Cobalt Strike加載程序。

有證據(jù)表明，地球盧斯卡是一個(gè)高技能和高危險(xiǎn)的威脅行為者，主要受網(wǎng)絡(luò)間諜活動(dòng)和經(jīng)濟(jì)利益的驅(qū)使。該組織主要依靠久經(jīng)考驗(yàn)的技術(shù)來(lái)誘捕目標(biāo)，雖然這有其優(yōu)勢(shì)（這些技術(shù)已被證明是有效的），但它也意味著安全最佳實(shí)踐，例如避免點(diǎn)擊可疑的電子郵件/網(wǎng)站鏈接和更新重要的面向公眾的應(yīng)用程序，可以最大限度地減少影響，甚至停止地球盧斯卡襲擊。

3151501908277