Arbor公司发现一种新型远程访问木马(RAT) Trochius,专门针对东南亚政府和公民社会组织发动攻击。
这种特殊的RAT早先曾针对缅甸政府发动攻击,曾被Arbor公司于2015年8月底发现。在这次攻击中,Group27利用对缅甸官网的水坑攻击感染通过PlugX恶意软件感染毫不知情的用户,并获取将要举行的缅甸大选的相关信息。
即使被公开,缅甸网络攻击仍在持续
Arbor安全团队指出,对上次攻击活动进行进一步调查后发现,他们发现当时的攻击应用了一种当时还未被多数杀毒厂商检测出的远程访问木马Trochilus。Trochilus是Group 27恶意软件组合的一部分。恶意组件的其它部分还包括6个其它恶意软件,它们基于所窃取数据的类型而分别或共同发动攻击。
这个恶意软件组合包括两种不同的PlugX版本、两种不同的TrochilusRAT版本、一个9002RAT的3012变体、一个EvilGrab RAT版本、以及一种未知名恶意软件。
安全专家指出,这些恶意软件是在第一份报告公布后发现的,也就是说Group27不管自己已被暴露的事实,继续通过同一个入口点即缅甸联合选举委员会网站感染目标。TrochilusRAT活动分别被发现于2015年10月和11月。
可从GitHub获取Trochilus RAT源代码
Arbor团队表示,Trochilus主要负责逆向shell功能并只在内存中执行,这让传统的杀毒解决方案很难检测到。不过一些杀毒引擎还是捕获到了一些蛛丝马迹。
此外,安全研究人员甚至能够获得该恶意软件的源代码,并将其与Github用户名为5loyd的用户联系在一起。从Trochilus的GitHub项目页面中可看出,这是一种“快速而免费的Windows远程管理面板”,用C++编写。不过5loyd是否是Group 27组织的一员还有待商榷。有可能这个组织劫持了5loyd的源代码并且用于恶意目的。