研究人員發(fā)現(xiàn)，LoJax是一種惡意軟件，它是2018年毀滅性花式熊攻擊的基礎(chǔ)，多年來一直默默無聞。在與安全研究人員于5月首次發(fā)現(xiàn)LoJax服務(wù)器幾個(gè)月后，2018年9月，俄羅斯相關(guān)黑客組織使用這種基礎(chǔ)設(shè)施。

LoJax去年被發(fā)現(xiàn)作為基于Fancy Bear統(tǒng)一可擴(kuò)展固件接口(UEFI)的rootkit的一部分，這意味著LoJax可以抵抗硬盤驅(qū)動(dòng)器更換和操作系統(tǒng)重新安裝。

但是，一個(gè)由ASERT安全研究人員組成的NETSCOUT團(tuán)隊(duì)發(fā)現(xiàn)，自2016年以來，LoJax可能已經(jīng)在野外生存，通過追蹤其指紋，同時(shí)學(xué)習(xí)仍然有兩個(gè)主動(dòng)命令和控制(C2)服務(wù)器。

研究人員在一篇博客文章中總結(jié)道： “跟蹤與LoJax相關(guān)的活動(dòng)的持續(xù)努力證明，演員仍然保持著現(xiàn)場(chǎng)C2服務(wù)器。”

“他們可能還會(huì)在ESET活動(dòng)報(bào)告的'野外'使用之外進(jìn)行額外的持續(xù)運(yùn)營(yíng)。即使圍繞Lojax的所有宣傳，F(xiàn)ancy Bear的運(yùn)營(yíng)也沒有將公開披露的服務(wù)器脫機(jī)。

“由于這些C2服務(wù)器具有較長(zhǎng)的保質(zhì)期，因此組織應(yīng)確保將IOC [妥協(xié)指標(biāo)]納入其防御姿態(tài)。這種長(zhǎng)壽強(qiáng)調(diào)了LoJax C2在更長(zhǎng)時(shí)間內(nèi)保持主動(dòng)防御姿態(tài)的重要性。”

該團(tuán)隊(duì)使用從已知的LoJax C2服務(wù)器收集的情報(bào)來構(gòu)建網(wǎng)絡(luò)掃描指紋。他們用它來搜索額外的LoJax服務(wù)器，并在2018年末發(fā)現(xiàn)了七個(gè)。在這7個(gè)中，有兩個(gè)隨后被認(rèn)為仍然活躍。

研究人員使用DNS記錄與已知的LoJax樣本交叉引用服務(wù)器，并發(fā)現(xiàn)LoJax C2服務(wù)器與兩個(gè)域，regvirt.com和elaxo.org有聯(lián)系。

NETSCOUT通過檢查域名注冊(cè)信息，確定何時(shí)首次上線，確定LoJax何時(shí)開始活躍。除了2004年和2006年的輕微騷動(dòng)外，網(wǎng)絡(luò)安全公司在2016年底發(fā)現(xiàn)了大幅飆升。

這些調(diào)查結(jié)果提出了關(guān)于LoJax基礎(chǔ)設(shè)施用于實(shí)現(xiàn)什么的問題，以及它在2018年首次公開曝光之前的成功程度。此外，NETSCOUT表示rootkit看起來不像是孤立事件或一次性攻擊目標(biāo)在一組特定的目標(biāo)。

一位ASERT安全研究人員告訴IT 專業(yè)人員，可能會(huì)選擇LoJax域名盡可能地與目標(biāo)組織的網(wǎng)絡(luò)流量融合，并且不一定映射到組織的部門。

“為什么組織可能會(huì)成為目標(biāo)，因?yàn)閮?yōu)先級(jí)可能會(huì)在操作過程中發(fā)生變化，但總的來說，Lojax為設(shè)備跟蹤以及執(zhí)行命令和控制服務(wù)器發(fā)送的代碼提供了良好的信標(biāo)，”他們說。

“Fancy Bear在網(wǎng)絡(luò)環(huán)境中保持高度活躍。無論如何，如果業(yè)務(wù)是參與者的主要目標(biāo)，業(yè)務(wù)可能仍然是由于他們的聯(lián)系而成為目標(biāo)。企業(yè)應(yīng)該保持警惕，防范網(wǎng)絡(luò)攻擊，特別是網(wǎng)絡(luò)釣魚嘗試這占了網(wǎng)絡(luò)妥協(xié)的主要原因。“

臭名昭著的俄羅斯黑客組織去年9月曾使用LoJax rootkit 破壞和控制政府系統(tǒng)。同樣的rootkit也被宣稱是Sedn??it集團(tuán)針對(duì)中歐和東歐高調(diào)目標(biāo)開展的活動(dòng)的一部分。