標籤:

這個名叫「潮蟲」的黑客團隊有點不一樣 囊括多國外交信息

「潮蟲」黑客團隊(Sowbug)

一個之前默默無聞的黑客及網路間諜團隊近日被發現。該團隊自2015年以來對南美及東南亞的許多政府組織機構進行了許多次高度定向攻擊以獲取其敏感資料。

這個代號「潮蟲」的黑客團隊是被Symantec公司安全研究者曝光的。研究者們發現這個團隊正在進行對國外政策機構、政府組織以及外交目標進行攻擊,目標包括阿根廷,巴西,厄瓜多,秘魯以及馬來西亞。

Symantec分析發現,「潮蟲」黑客團隊使用一個被稱為「Felismus」的惡意軟體來攻擊並滲透他們的目標。Felismus在今年三月下旬第一次被辨識出,這是一個複雜的,編寫精妙的遠程訪問木馬(RAT)。它有著模塊化的結構,使其能夠隱藏起來並延展它的功能。同大部分遠程訪問木馬相同,Felismus能夠讓不法分子完全地操控一個被感染的系統,與此同時,還能夠使攻擊者與遠程伺服器進行交互,下載文件,執行shell命令。

解析Felismus

通過對Felismus的分析,研究者們獲取到了潮蟲團隊之前攻擊行動的相關信息,並斷言至少在2015年初,潮蟲團隊就開始活躍了,而實際的時間很可能還要更早。

Symantec的報告中提到,

通過對過往黑客行為的分析,潮蟲團隊似乎主要目標是位於南美洲以及東南亞的政府機構,並且他們已經成功滲透進了阿根廷,巴西,厄瓜多,秘魯,汶萊以及馬來西亞的相關組織。這個團隊實力雄厚有備而來,能夠同時持續對多個目標進行滲透攻擊,並且經常是在受攻擊組織的工作時間之外採取行動。

雖然還不清楚潮蟲團隊是如何在網路中安插進第一枚棋子的,研究者們根據目前收集到的證據推測黑客們可能是利用虛假的Windows或Adobe Reader升級補丁來進行首次侵入。研究者們發現,該團隊使用一種叫做Starloader的工具,在受害組織的網路中部署額外的惡意軟體與工具,例如憑證廢除工具以及鍵盤記錄器。Starloader的文件被偽裝成無害的文件並被命名為AdobeUpdate.exe, AcrobatUpdate.exe,以及 INTELUPDATE.EXE等等。這些文件並沒有影響到其他軟體的運行,看起來也和系統所必需的文件十分相似,並且被生成在合法文件該出現的位置,導致很容易被誤認為合法軟體。由於這樣幾乎不會引起察覺,黑客得以在眾目睽睽之下入侵。

潮蟲團隊的黑客們在被侵入組織的標準工作時間之外才進行他們的間諜行動,正因為這樣,他們能夠在目標的網路之中潛伏數月之久。在某一次入侵中,潮蟲團隊在2016年的9月至2017年3月這六個月間都未被察覺。

除了在入侵時會使用Felismus之外,我們目前仍尚未明確潮蟲團隊黑客的其他手段特徵。

如若轉載,請註明原文地址: 4hou.com/info/news/8369 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

NO.2 第一個月 我感覺我即將成為一名腳本小子
乾貨 || 保護內網安全之Windows工作站安全基線開發(一)
「世界末日」級蠕蟲永恆之石 利用7個NSA漏洞
新的移動惡意軟體利用分層混淆瞄準俄羅斯銀行
俄羅斯黑客暗網出售勒索軟體服務(RaaS),價格低廉人人可用

TAG:信息安全 |