赛门铁克研究人员表示,入侵者利用一款名为Duuzer的数据窃取木马主要针对韩国的组织机构发动攻击。他们的攻击目标集中在制造行业,利用Duuzer后门获取对受感染设备的完全控制。
Duuzer允许攻击者收集系统信息、获取本地文件系统、更改文件的时间属性、上传和下载文件,而且当然还有执行命令。
研究人员表示,Backdoor.Duuzer至少在今年7月20日就已存在,攻击者利用鱼叉式网络钓鱼信息和水坑式攻击传播后门。研究员发现,Duuzer活动的攻击者还传播其它两种恶意软件W32.Brambul和Backdoor.Joanap。这两款恶意软件同样也用于攻击位于韩国的组织机构并作为被攻陷机器上的额外有效负载。
赛门铁克指出,Duuzer与这两款恶意软件都有联系,每台受Brambul感染的计算机都同时受到Duuzer的感染,并且他们共享有相同的命令和控制服务器。Duuzer能够感染32位和64位系统。它执行多种程序以躲避检测。例如,它能够检测是否存在虚拟机,而且会在现有的合法软件开始运行将计算机更名。
研究员认为攻击者对于恶意软件检测技巧有着深厚知识。研究员进一步指出,Brambul是一种从一台计算机传播至另一台计算机的蠕虫,主要依赖于暴力攻击,目的是SMB协议。一旦感染了主机,它就会创建一种网络共享为攻击者提供访问系统驱动的权限。Joanap是一种获取受感染系统权限的经典后门。
研究员建议采取如下措施阻止Duuzer感染:
l 更改默认凭证
l 使用字符密码
l 保持操作系统和软件时刻更新
l 不要打开可疑邮件
l 保证安全软件符合最新定义要求