Promethium APT 攻击激增，发现了新的特洛伊木马安装程序

StrongPity背后的黑客组织在寻求全球情报和监控的过程中，忽略了研究人员的不断曝光。

Promethium是一个威胁组织，也被称为StrongPity，它在新一轮的攻击中被追踪到，并且它部署了一个安装程序的扩展列表，这些安装程序滥用合法的应用程序。

自2002年左右开始活跃的Promethium高级持续威胁(APT)组织，一次又一次地被安全研究人员和民权组织揭露，他们进行与政治目标相关的大量监视和情报收集活动。

典型的情况是，Promethium一直专注于针对土耳其和叙利亚，尽管该组织过去也涉足过意大利和比利时。

在新的独立报告中显示，Cisco Talos 和 BitDefender (.PDF)公司的研究人员不仅揭示了在打击名单上的新的国家，而且还升级了武器库，该武器库是指威胁受害者的机器。

Talos 跟踪了大约30台新的属于Promethium的指挥控制(C2)服务器，这些服务器与该组织的监控恶意软件StrongPity3的一种进化形式有关，该软件也被认为与国家赞助有关。

为了隐藏间谍软件的活动，BitDefender说，该小组追踪的C2网络有三个基础设施层，包括使用代理服务器、VPNs、接收转发数据的IP地址等。该团队总共映射了47台具有不同功能的服务器。

据Talos称，现在目标国家名单包括哥伦比亚、印度、加拿大和越南。BitDefender的报告指出了位于土耳其和叙利亚边境以及伊斯坦布尔附近的目标，该小组表示，“这些威胁目标可能与土耳其和库尔德社区之间的地缘政治冲突有关。”

为了感染更多的受害者，APT通过使用新的特洛伊安装文件来增强其工具包，该安装文件旨在部署强大的间谍软件。

这些文件包括火狐浏览器的土耳其语版本、DriverPack和5kPlayer恶意文件，但可能还有其他文件。

特洛伊木马文件将把合法的应用程序和恶意软件一起安装在受损的机器上，以避免被发现，并防止在受害者的预期软件没有实现时引发怀疑。

在检查与威胁因素相关的安装程序时，BitDefender注意到恶意软件下载者的编译时间显示正常工作时间，这可能表明该活动涉及到付费开发团队。

StrongPity3与之前版本StrongPity2的主要区别在于，在执行C2请求时，从libcurl切换到winhttp，并且持久性机制从注册表项转变为服务。APT的最新攻击模式遵循监视趋势，并对在受损机器上检测到的任何微软办公文件进行过滤。

尽管Talos团队无法追踪最初的攻击媒介，但研究人员表示，这些文件可能会通过水坑攻击或路径请求拦截(由互联网服务提供商执行HTTP重定向)进行登录，正如CitizenLab在2018年关于Promethium活动的报告中所描述的那样。

CitizenLab的报告记录了在土耳其和叙利亚使用Sandvine/Procera Networks深度数据包检测(DPI)设备拦截流量和发送恶意软件，以及在埃及进行恶意广告和秘密开采加密货币的情况。

“多年来，Promethium一直很活跃，” Talos说。“它的活动已经被曝光了几次，但这还不足以让背后的行动者停止行动。事实上，即使在被曝光后，该组织也没有停止发起新的运动，这表明他们下定决心要完成自己的使命。”