俄羅斯聯系的Fancy Bear使用的LoJax rootkit自2016年以來一直默默活躍

研究人員發現，LoJax是一種惡意軟件，它是2018年毀滅性花式熊攻擊的基礎，多年來一直默默無聞。在與安全研究人員于5月首次發現LoJax服務器幾個月后，2018年9月，俄羅斯相關黑客組織使用這種基礎設施。

LoJax去年被發現作為基于Fancy Bear統一可擴展固件接口(UEFI)的rootkit的一部分，這意味著LoJax可以抵抗硬盤驅動器更換和操作系統重新安裝。

但是，一個由ASERT安全研究人員組成的NETSCOUT團隊發現，自2016年以來，LoJax可能已經在野外生存，通過追蹤其指紋，同時學習仍然有兩個主動命令和控制(C2)服務器。

研究人員在一篇博客文章中總結道： “跟蹤與LoJax相關的活動的持續努力證明，演員仍然保持著現場C2服務器。”

“他們可能還會在ESET活動報告的'野外'使用之外進行額外的持續運營。即使圍繞Lojax的所有宣傳，Fancy Bear的運營也沒有將公開披露的服務器脫機。

“由于這些C2服務器具有較長的保質期，因此組織應確保將IOC [妥協指標]納入其防御姿態。這種長壽強調了LoJax C2在更長時間內保持主動防御姿態的重要性。”

該團隊使用從已知的LoJax C2服務器收集的情報來構建網絡掃描指紋。他們用它來搜索額外的LoJax服務器，并在2018年末發現了七個。在這7個中，有兩個隨后被認為仍然活躍。

研究人員使用DNS記錄與已知的LoJax樣本交叉引用服務器，并發現LoJax C2服務器與兩個域，regvirt.com和elaxo.org有聯系。

NETSCOUT通過檢查域名注冊信息，確定何時首次上線，確定LoJax何時開始活躍。除了2004年和2006年的輕微騷動外，網絡安全公司在2016年底發現了大幅飆升。

這些調查結果提出了關于LoJax基礎設施用于實現什么的問題，以及它在2018年首次公開曝光之前的成功程度。此外，NETSCOUT表示rootkit看起來不像是孤立事件或一次性攻擊目標在一組特定的目標。

一位ASERT安全研究人員告訴IT 專業人員，可能會選擇LoJax域名盡可能地與目標組織的網絡流量融合，并且不一定映射到組織的部門。

“為什么組織可能會成為目標，因為優先級可能會在操作過程中發生變化，但總的來說，Lojax為設備跟蹤以及執行命令和控制服務器發送的代碼提供了良好的信標，”他們說。

“Fancy Bear在網絡環境中保持高度活躍。無論如何，如果業務是參與者的主要目標，業務可能仍然是由于他們的聯系而成為目標。企業應該保持警惕，防范網絡攻擊，特別是網絡釣魚嘗試這占了網絡妥協的主要原因。“

臭名昭著的俄羅斯黑客組織去年9月曾使用LoJax rootkit 破壞和控制政府系統。同樣的rootkit也被宣稱是Sedn??it集團針對中歐和東歐高調目標開展的活動的一部分。