聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
目前出现一个新型网络间谍组织“潮虫 (SowBug)”,它至少活跃于2015年,并发动了一系列针对高价值目标的攻击,从南美洲和东南亚地区的政府机构窃取敏感数据。
“潮虫”黑客组织是由赛门铁克公司的安全研究人员发现的。“潮虫”针对阿根廷、巴西、厄瓜多尔、秘鲁和马来西亚等国家的外交政策机构、政府组织和外交目标发动秘密攻击。
赛门铁克分析指出,“潮虫”黑客组织使用名为“Felismus”的恶意软件发动攻击并渗透进目标。研究人员在今年3月份首次发现此类攻击。Felismus是一款复杂的编写良好的远程访问木马,其中含有一个模块化构建能供后门密码隐藏或扩展其能力。
Felismus能让恶意攻击者完全控制受感染系统,且它跟其它多数远程访问木马一样,也能让攻击者跟远程服务器通信、下载文件并执行shell命令。
研究人员经过分析,认为Felismus跟“潮虫”黑客组织此前发动的攻击之间存在关联,说明“潮虫”至少活跃于2015年初。
赛门铁克在报告中指出,“潮虫”似乎主要针对位于南美洲和东南亚国家的政府实体,并且渗透到位于阿根廷、巴西、厄瓜多尔、秘鲁、文莱和马拉西亚的政府机构。这个组织资源丰富,能够同时渗透到多个目标中,而且将会经常在目标组织机构的非工作时间行动。
尽管目前尚不清楚“潮虫”黑客是否设法在计算机网络中站稳脚跟,但研究人员收集的证据表明黑客可能使用了虚假的且恶意的Windows或Adobe Reader的软件更新。‘
研究人员还发现“潮虫”黑客组织使用了Starloader工具部署其它的恶意软件和工具如凭证dumper和键盘记录器等。
赛门铁克的研究人员还发现Starloader文件以 “AdobeUpdate.exe” 、”AcrobatUpdate.exe” 和”INTELUPDATE.EXE” 等命名以软件更新的形式传播。
“潮虫”并不攻陷软件本身而是会将黑客工具文件命名为“类似于软件使用的名称,并且将它们放在目录树中,从而可被误认为合法软件使用的名称。”这一招能让黑客隐藏在光天化日之下,“而它们的出现也不不可能会引起怀疑”。
“潮虫”黑客采取多种措施来规避检测,如在非标准办公时段实施监控,并确保至少在目标网络中出现数月时间。
在一个案例中,“潮虫”在2016年9月至2017年3月期间一直停留在目标网络中,也就是停留了长达6个月的时间。
除了Felismus恶意软件的传播方法不明外,“潮虫”攻击者的身份也尚不明朗。
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://thehackernews.com/2017/11/sowbug-hacking-group.html