E安全3月1日讯 卡巴斯基实验室近期发现Adwind远程访问工具（RAT）对100多个国家和地区的1500多个组织机构展开网络攻击。

卡巴斯基表示，攻击影响了多个行业，其中零售与分销行业受影响最大（20.1%），其次是建筑和施工行业（9.5%），航运和物流行业（5.5%），保险和法律服务行业（5%），以及咨询行业（5%）。

Adwind后门已存在数年。卡巴斯基去年表示，2013年至2016年，该后门设法感染了超过44.3万用户。Adwind后门也被称为AlienSpy、 Frutas、Unrecom、 Sockrat和 jRAT。这款恶意软件与众多起攻击有关。2015年4月，一份详细的报告公开AlienSpy变种后，此变种才停止活动。

威胁以付费服务的形式公开散布，只要付费，任何人都可以使用该恶意程序。卡巴斯基表示，这是区分Adwind RAT和其它商业恶意软件的主要特征。

这款恶意软件用Java编写，在单个平台上不受限，但能用来攻击Windows、Linux、macOS和其它运行Java的平台，包括Android。网络犯罪分子借助这款恶意软件可以记录击键，窃取密码和其它网络数据，捕捉截图，记录音频和视频、传输文件并窃取大量机密信息。

卡巴斯基实验室的研究人员表示，这款RAT可能假冒汇丰咨询服务（邮件域名为hsbcnet.hsbc.com）的电子邮件进行散布，声称支付通知单包含在附件内。虽然眼下只有这些详细信息，但是，这个电子邮件域名的活动可以追溯到2013年。

一旦受害者打开附件，恶意软件样本便会安装在受害者的设备上。附件是.ZIP文件，其中包含一个JAR。当受害者打开时，恶意软件会自行安装，之后设法与命令与控制（C&C）服务器建立通信。

一旦电脑被Adwind后门感染，Adwind的操作人员几乎可以完全加以控制。这样一来，操作人员可以立即开始窃取设备的机密信息。

在分析该恶意软件时，卡巴斯基已经确定，超过40%的目标用户主要分布在以下十个国家和地区：马来西亚、英国、德国、黎巴嫩、土耳其、中国香港、哈萨克斯坦、阿拉伯联合酋长国、墨西哥和俄罗斯。

卡巴斯基实验室的研究人员还提出，这些攻击背后的网络犯罪分子可能使用行业特定的邮件列表展开攻击，因为很大一部分受害者是企业。研究人员表示，考虑到检测到的攻击数量，攻击者可能侧重攻击规模和范围，而非复杂的技术。

为了保护组织机构免于遭受Adwind RAT攻击，卡巴斯基实验室建议企业限制使用Java, 仅用于隔离的，离开Java平台无法运行的应用程序。
就如同金融操作的方式一样，Java应用程序可以利用适当的安全准则隔离。

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。