翻译:360代码卫士
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
“潮虫”间谍组织浮出水面
目前出现了一个新型网络间谍组织“潮虫 (SowBug)”,它起始活跃于2015年,并发动了一系列针对高价值目标的攻击,从南美洲和东南亚地区的政府机构窃取敏感数据。
“潮虫”黑客组织是由赛门铁克公司的安全研究人员发现的。“潮虫”针对阿根廷、巴西、厄瓜多尔、秘鲁和马来西亚等国家的外交政策机构、政府组织和外交目标发动秘密攻击。
通过Felismus恶意软件发动攻击
赛门铁克分析指出,“潮虫”黑客组织使用名为“Felismus”的恶意软件发动攻击并渗透进目标。研究人员在今年3月份首次发现此类攻击。Felismus是一款复杂且有效的远程访问木马,其中包含一个模块化构造,能供隐藏访问或扩展其能力。
Felismus能让恶意攻击者完全控制受感染设备,且它跟其它多数远程访问木马一样,也能让攻击者跟远程服务器通信、下载文件并执行shell命令。
研究人员经过分析,认为Felismus跟“潮虫”黑客组织此前发动的攻击之间存在关联,说明“潮虫”至少活跃于2015年初。
“潮虫”或利用虚假软件更新
赛门铁克在报告中指出,“潮虫”似乎主要针对位于南美洲和东南亚国家的政府实体,并且渗透到位于阿根廷、巴西、厄瓜多尔、秘鲁、文莱和马拉西亚的政府机构。这个组织资源丰富,能够同时渗透到多个目标中,而且经常在目标组织机构的非工作时间行动。
尽管目前尚不清楚“潮虫”黑客是否设法在计算机网络中站稳脚跟,但研究人员收集的证据表明黑客可能使用了虚假的Windows或Adobe Reader的软件更新。‘
研究人员还发现“潮虫”黑客组织使用了Starloader工具部署其它的恶意软件和工具如凭证窃取工具和键盘记录器等。
通过多种措施规避检测
赛门铁克的研究人员还发现Starloader文件以 “AdobeUpdate.exe” 、”AcrobatUpdate.exe” 和”INTELUPDATE.EXE” 等文件名以软件更新的形式传播。
“潮虫”并不破坏软件本身而是会将黑客工具文件命名为“与软件相似的名称,并且将它们放在目录中,从而被误认为是合法软件使用的名称。”这一招能让黑客隐藏在光天化日之下,“而它们的出现也不不可能会引起怀疑”。
“潮虫”黑客采取多种措施来规避检测,如在非标准办公时段实施监控,并确保至少在目标网络中停留数月时间。
在一个案例中,“潮虫”在2016年9月至2017年3月期间一直停留在目标网络中,也就是停留了长达6个月的时间。
除了Felismus恶意软件的传播方法不明外,“潮虫”攻击者的身份也尚不明朗。