俄罗斯联系的Fancy Bear使用的LoJax rootkit自2016年以来一直默默活跃

研究人员发现，LoJax是一种恶意软件，它是2018年毁灭性花式熊攻击的基础，多年来一直默默无闻。在与安全研究人员于5月首次发现LoJax服务器几个月后，2018年9月，俄罗斯相关黑客组织使用这种基础设施。

LoJax去年被发现作为基于Fancy Bear统一可扩展固件接口(UEFI)的rootkit的一部分，这意味着LoJax可以抵抗硬盘驱动器更换和操作系统重新安装。

但是，一个由ASERT安全研究人员组成的NETSCOUT团队发现，自2016年以来，LoJax可能已经在野外生存，通过追踪其指纹，同时学习仍然有两个主动命令和控制(C2)服务器。

研究人员在一篇博客文章中总结道： “跟踪与LoJax相关的活动的持续努力证明，演员仍然保持着现场C2服务器。”

“他们可能还会在ESET活动报告的'野外'使用之外进行额外的持续运营。即使围绕Lojax的所有宣传，Fancy Bear的运营也没有将公开披露的服务器脱机。

“由于这些C2服务器具有较长的保质期，因此组织应确保将IOC [妥协指标]纳入其防御姿态。这种长寿强调了LoJax C2在更长时间内保持主动防御姿态的重要性。”

该团队使用从已知的LoJax C2服务器收集的情报来构建网络扫描指纹。他们用它来搜索额外的LoJax服务器，并在2018年末发现了七个。在这7个中，有两个随后被认为仍然活跃。

研究人员使用DNS记录与已知的LoJax样本交叉引用服务器，并发现LoJax C2服务器与两个域，regvirt.com和elaxo.org有联系。

NETSCOUT通过检查域名注册信息，确定何时首次上线，确定LoJax何时开始活跃。除了2004年和2006年的轻微骚动外，网络安全公司在2016年底发现了大幅飙升。

这些调查结果提出了关于LoJax基础设施用于实现什么的问题，以及它在2018年首次公开曝光之前的成功程度。此外，NETSCOUT表示rootkit看起来不像是孤立事件或一次性攻击目标在一组特定的目标。

一位ASERT安全研究人员告诉IT 专业人员，可能会选择LoJax域名尽可能地与目标组织的网络流量融合，并且不一定映射到组织的部门。

“为什么组织可能会成为目标，因为优先级可能会在操作过程中发生变化，但总的来说，Lojax为设备跟踪以及执行命令和控制服务器发送的代码提供了良好的信标，”他们说。

“Fancy Bear在网络环境中保持高度活跃。无论如何，如果业务是参与者的主要目标，业务可能仍然是由于他们的联系而成为目标。企业应该保持警惕，防范网络攻击，特别是网络钓鱼尝试这占了网络妥协的主要原因。“

臭名昭着的俄罗斯黑客组织去年9月曾使用LoJax rootkit 破坏和控制政府系统。同样的rootkit也被宣称是Sedn​​it集团针对中欧和东欧高调目标开展的活动的一部分。