来自安全公司Cylance的研究人员本周三表示,网络监控行动“大砍刀 (Machete)”背后的威胁组织还在针对位于讲西班牙语的国家的实体发动攻击。
卡巴斯基在2014年首次发现“大砍刀”行动的存在。卡巴斯基表示该行动至少活跃于2010年,2012年曾做出一些改进。被攻击的实体包括情报服务机构、大使馆、政府机构和军事组织机构。多数受害者来自委内瑞拉、厄瓜多尔和哥伦比亚,不过一些被攻陷系统也出现在俄罗斯(大使馆)、秘鲁、古巴、巴西、美国、西班牙、瑞典和中国。
攻击者利用鱼叉式钓鱼邮件和虚假博客传播能够记录按键的恶意软件、从麦克风中捕获音频信息、通过摄像头截取屏幕和照片、收集地理位置信息并将文件提取到一个远程服务器或特殊的USB设备中。
研究人员分析后在上个月识别出300多个唯一受害者。攻击者设法窃取了来自组织机构的超过100 G的数据。多数受害者位于厄瓜多尔、委内瑞拉、秘鲁、阿根廷和哥伦比亚。不过受害者还出现在韩国、美国、多米加共和国、玻利维亚、古巴、危地马拉、尼加拉瓜、墨西哥、英国、加拿大、德国、俄罗斯和乌克兰。被攻击实体基本跟卡巴斯基此前说明的类型一致,不过Cylance公司还提到了电信和电力企业。卡巴斯基在2014年的报告中指出,攻击者似乎是讲西班牙语的人。Cylance指出并未发现来自巴西的受害者,而遭受攻击最严重的国家都跟巴西接壤。也就是说攻击者可能来自巴西,但这就跟卡巴斯基最初的分析结果相悖,因为巴西讲葡萄牙语。
Cylance指出,攻击者设法通过迁移到新的C&C基础架构并对恶意软件做出微小改动的方式躲避签名检测并让行动继续开展。研究人员还表示这种监控已经持续多年,很多公开可获取的指示因素都可以被防御人员使用,但多数杀毒解决方案对当前的样本检测程度都很低。
对于受害者而言,专家认为很多被攻击的目标国家都是FinFisher和Hacking Team的企业客户,也就是说这些被攻击地区尚未形成自己的网络能力。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。