“潮虫”网络间谍组织从2015年起窃取外交机密

“潮虫”间谍组织浮出水面

目前出现了一个新型网络间谍组织“潮虫 (SowBug)”,它起始活跃于2015年,并发动了一系列针对高价值目标的攻击,从南美洲和东南亚地区的政府机构窃取敏感数据。

“潮虫”黑客组织是由赛门铁克公司的安全研究人员发现的。“潮虫”针对阿根廷、巴西、厄瓜多尔、秘鲁和马来西亚等国家的外交政策机构、政府组织和外交目标发动秘密攻击。

通过Felismus恶意软件发动攻击

赛门铁克分析指出,“潮虫”黑客组织使用名为“Felismus”的恶意软件发动攻击并渗透进目标。研究人员在今年3月份首次发现此类攻击。Felismus是一款复杂且有效的远程访问木马,其中包含一个模块化构造,能供隐藏访问或扩展其能力。

Felismus能让恶意攻击者完全控制受感染设备,且它跟其它多数远程访问木马一样,也能让攻击者跟远程服务器通信、下载文件并执行shell命令。

研究人员经过分析,认为Felismus跟“潮虫”黑客组织此前发动的攻击之间存在关联,说明“潮虫”至少活跃于2015年初。

“潮虫”或利用虚假软件更新

赛门铁克在报告中指出,“潮虫”似乎主要针对位于南美洲和东南亚国家的政府实体,并且渗透到位于阿根廷、巴西、厄瓜多尔、秘鲁、文莱和马拉西亚的政府机构。这个组织资源丰富,能够同时渗透到多个目标中,而且经常在目标组织机构的非工作时间行动。

尽管目前尚不清楚“潮虫”黑客是否设法在计算机网络中站稳脚跟,但研究人员收集的证据表明黑客可能使用了虚假的Windows或Adobe Reader的软件更新。
研究人员还发现“潮虫”黑客组织使用了Starloader工具部署其它的恶意软件和工具如凭证窃取工具和键盘记录器等。

通过多种措施规避检测

赛门铁克的研究人员还发现Starloader文件以 “AdobeUpdate.exe” 、”AcrobatUpdate.exe” 和”INTELUPDATE.EXE” 等文件名以软件更新的形式传播。

“潮虫”并不破坏软件本身而是会将黑客工具文件命名为“与软件相似的名称,并且将它们放在目录中,从而被误认为是合法软件使用的名称。”这一招能让黑客隐藏在光天化日之下,“而它们的出现也不不可能会引起怀疑”。

“潮虫”黑客采取多种措施来规避检测,如在非标准办公时段实施监控,并确保至少在目标网络中停留数月时间。

在一个案例中,“潮虫”在2016年9月至2017年3月期间一直停留在目标网络中,也就是停留了长达6个月的时间。

除了Felismus恶意软件的传播方法不明外,“潮虫”攻击者的身份也尚不明朗。

转自安全客,如有侵权,请留言告知,我们将尽快处理!
云锁-服务器必备安全软件。
发表于 2017-11-9 15:07:18 | 显示全部楼层 |阅读模式

回复 | 使用道具 举报

该帖共收到 0 条回复!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发布主题

QQ|论坛首页|站点统计|小黑屋|云锁论坛-服务器安全技术讨论专业论坛、云锁软件技术讨论 ( 京ICP备14002707号-3  

GMT+8, 2017-11-20 21:22 , Processed in 0.230976 second(s), 28 queries .

Powered by 云锁

© 2014-2018 JOWTO Inc.

快速回复 返回顶部 返回列表