趋势科技研究人员发现,一个名为“引射十字弓(Shrouded Crossbow)”的APT组织将从黑市购买的恶意软件升级成威胁后门,对亚洲国家的私营和政府企业发动攻击。
深入挖掘并分析该组织的行为后,安全研究人员认为,他们所购买的恶意软件是BIFROSE。这是一种非常强大的远程访问木马,被广泛应用于网络间谍活动中,具有很多隐秘的间谍功能。暗网上一个BIFROSE数据包的平均售价为1万美元。该组织的成员以这个恶意软件为基础开发出自己的监控工具。趋势科技发现了一个更加简化的后门工具XBOW和KIVARS后门的修改版本。这两款后门都跟标准的BIRROSE共享很多代码而且都用在相同的命令和控制服务器基础架构上,而他们也正是从此实施攻击活动。
研究人员表示,研究说明该组织由足够的金融资源来购买恶意软件的源代码和足够的人力资源来基于此设计自己的后门版本。
基于编译XBOW不同版本的文件命名规则,研究人员表示至少有10名开发人员在开发源代码,这个数量非常多,而一般网络犯罪团伙的数量一般都不会超过10个。
加上通过鱼叉式网络钓鱼活动传播这些后门的人员数量、管理100个以上命令和控制服务器的人员数量,“引射十字弓”是迄今为止发现的最大的网络犯罪团伙。
趋势科技表示,在过去的五年中,该犯罪团伙主要针对政府组织机构、政府合同承包商、计算机行业、医疗行业和金融行业发动攻击。不过趋势科技并未猜测攻击来源国的身份。