注：本文以對話形式還原報道內(nèi)容以期減少讀者用眼負(fù)擔(dān)，順帶希望增加一點(diǎn)趣味性。

背景介紹：Sofacy和Turla（均為APT組織）都在莫斯科郊外跑步。兩人不期而遇。

Turla：Sofacy！好久不見啊，最近還有空出來跑步?。縼韥韥?，抽根煙聊聊。最近你的新聞不少啊。

Sofacy邊點(diǎn)煙邊說道：別提了，最近忙壞了。不過身體是革命的本錢啊，要好好鍛煉身體，我的愿望是再跟友軍斗爭50年。

Turla：哈哈，有志氣。第二季度有啥新動作？

Sofacy：研究了下繞過檢測的新方法、編造了新的payload釋放、找0day漏洞和后門感染用戶、繼續(xù)待在機(jī)器上。

Turla：看來你很上進(jìn)。對了，我聽說四月份你用了兩種新的宏技術(shù)。一種技術(shù)利用的是Windows的certutil工具提取payload。另外一種技術(shù)把payload內(nèi)嵌到惡意Office文檔的EXIF元數(shù)據(jù)里了。

Sofacy：說起來這技術(shù)讓卡巴斯基實驗室研究員大開眼界啊，哈哈，他們第一次見我用這技術(shù)。

Turla：他們說其實你早在2016年12月份就開始用這倆技術(shù)了。在法國大選前夕你用這兩種技術(shù)攻擊法國政黨成員。6月份那幫人看到你更新了一個用Delphi編寫的payload，Zebrocy。Zebrocy的5.1版本還實現(xiàn)了新的加密密鑰以及一些字符串混淆，更容易地繞過檢測功能。這些都是真的嗎？還有那幫人在2016年中就覺得你跟Zebrocy扯不清了。說你們在基礎(chǔ)設(shè)施方面存在某些聯(lián)系。他們還發(fā)現(xiàn)了也是用Delphi編寫的另外一個payload，Delphocy。2015年末，他們從你那看到Delphi，之前他們都沒見過。他們推測你雇傭了一個啥都不用只用Delphi編寫程序的程序員。就在這段時間他們還發(fā)現(xiàn)了另外一個感染也跟Delphi共享某些代碼，就把你扯進(jìn)來了。這些都是真的嗎？

Sofacy：真亦假時假亦真，假亦真時真亦假。

Turla：高深！

Sofacy：你這消息還挺靈通啊。我就混口飯吃，沒想到給別人帶來的麻煩挺多啊。就說你吧，人家卡巴斯基實驗室研究員說了，咱倆之間也有說不清道不明的關(guān)系。

Turla：哈哈?？刹皇锹铮麄冋f咱都跟俄羅斯有關(guān)聯(lián)，就像今天跑個步還能碰到。（情不自禁地唱起來）深夜花園里四處靜悄悄/只有風(fēng)兒在輕輕唱/夜色多么好心兒多爽朗/在這迷人的晚上/長夜快過去天色蒙蒙亮/衷心祝福你好姑娘/但愿從今后你我永不忘/莫斯科郊外的晚上……

Sofacy：（跟唱）在這莫斯科郊外的晚上。哈哈。話說回來，他們說在我活動期間，你搞了一個EPS 0day (CVE-2017-0261) 攻擊外國外交部等部門和政府啊。你這段位高。他們還說咱倆共享供應(yīng)鏈呢。

Turla：哈哈，見笑見笑。還供應(yīng)鏈呢，咋不弄個區(qū)塊鏈趕趕時髦呢？

Sofacy：老兄真逗。

Turla：老兄你是白道黑道都有一條道啊。不聊咱了。由它去吧。八卦下別人。

Sofacy：我最愛聽八卦了。那幫研究員又有啥新發(fā)現(xiàn)？

Turla：他們還討論了一個講中東地區(qū)語言的組織BlackOasis。他們說BlackOasis是專門從事監(jiān)控和監(jiān)視設(shè)備如FinFisher的英國公司Gamma集團(tuán)的客戶。據(jù)說這個叫Brian Bartholomew的研究員研究了一年半了。他們說BlackOasis過去用了不少0day漏洞，比如CVE-2016-4117、CVE-2016-0984和CVE-2015-5119。他們還說BlackOasis是第一個用OLE2Link 0day漏洞CVE-2017-0199的，他的末端payload是FinSpy的新變體，專門阻止研究人員分析的。

Sofacy：看來研究人員們還真有兩把刷子啊。他們說沒說EQUATIONVECTOR后門？

Turla：就“別人肚子里的蛔蟲”這一點(diǎn)，我特服你。啥都讓你說中了。他們聊了這個屬于NOBUS（只針對美國的后門）的后門，它能執(zhí)行shellcode payload。他們還聊了Lamberts APT組織的擴(kuò)展Gray Lambert。它更先進(jìn)，能等待、睡眠并嗅探網(wǎng)絡(luò)，一直到使用的時候還是如此。他們說功能可強(qiáng)大了，能對多臺受感染機(jī)器進(jìn)行精準(zhǔn)打擊。把它安裝到設(shè)備上，咱就能判斷出怎么給payload、命令和攻擊分配空間。

Sofacy：不錯啊，這個有意思。還有沒有別的了？沒預(yù)測個趨勢啥的？他們這幫人最愛找規(guī)律了。你說咱要是按套路出牌不早就死翹翹了？

Turla：可不是嘛，誰知道他們呢，預(yù)測倒是說了兩嘴。他們說了，之后咱們還會用這些戰(zhàn)術(shù)、技術(shù)和程序 (TTP)。比如咱可能會擾亂各國大選啊什么的，還拿你舉例子說散布虛假消息。以后使用有爭議的合法監(jiān)控工具的人就越來越多了。

Sofacy：他們沒說說勒索軟件的事兒？

Turla：說了，說可能還會發(fā)生勒索事件，不過他們也摸不透咱會不會一定使用。

Sofacy：這話靠譜。

Turla：他們說破壞攻擊和wiper攻擊發(fā)生的頻率比較低。要出現(xiàn)的話也應(yīng)該不是腳本小子們能承受的，說咱們APT組織可能會用來制造大新聞。不過他們說咱要是用的話，也跟攻擊索尼影視的那幫人手法差不多。他們說咱不地道，剛開始跟人勒索錢，結(jié)果交不交錢都會泄露數(shù)據(jù)。估計他們很無語啊。

Sofacy：哈哈，誰讓APT組織水很深不知深幾許呢？他明我暗，打幾個回合下來他們也不見得能辨認(rèn)出誰是誰來。由他們?nèi)グ伞?/p>

Turla：好嘞。不過話說回來還是要當(dāng)心啊，這世道亂的，得做好打長期戰(zhàn)的準(zhǔn)備。

于是，Sofacy和Turla互道珍重，就此別過。

原文鏈接：http://bobao.#/news/detail/4257.html

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。