网络间谍组织Sowbug钟爱窃取政府机密身份成谜
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全11月9日讯 先前不为人知的网络间谍组织‘Sowbug’浮出水面。该间谍组织至少自2015年开始活跃,已对南美洲和东南亚国家的政府组织机构发起高度针对性的攻击,企图窃取敏感数据。
Sowbug与“Felismus”木马存在关联
Sowbug与“Felismus”木马存在关联
赛门铁克公司的安全研究人员发现,Sowbug对阿根廷、巴西、厄瓜多尔、秘鲁和马来西亚等国的外交政策机构、政府机构和外交目标发起隐蔽性攻击。经分析,Sowbug间谍组织使用一款名为“Felismus”的恶意软件发起攻击,渗透目标。
恶意软件Felismus
拉丁语中,Felis指的是猫,Mus指的是老鼠。
“Felismus”是一款精心编写的远程访问木马(RAT),自身具备的模块化机构能隐藏或扩展功能。旦感染系统能够进行自我更新,具备极其高超的伪装能力,能规避反病毒程序的检测,攻击者能够秘密执行命令,例如键盘记录、流量分析、进一步部署恶意软件等间谍活动。除了能让恶意攻击者完全控制被感染的系统,Felismus还允许攻击者与远程服务器通信、下载文件并执行Shell命令,因此攻击者能执行监控、破坏或窃取数据等活动。
研究人员发现这款RAT先前的攻击活动与Sowbug组织存在关联,这表明该组织2015年初已开始活跃,甚至更早。
到目前为止,Sowbug似乎主要瞄准南美和东南亚的政府机构,已经渗透了阿根廷、巴西、厄瓜多尔、秘鲁、文莱和马来西亚等国的组织机构。该组织资源雄厚,能同时渗透多个目标,并经常在目标组织机构非工作时段发起攻击。
利用虚假的系统及应用软件更新
虽然目前尚不清楚Sowbug黑客如何设法渗透网络,但研究人员收集的证据表明该组织利用了虚假的Windows或Adobe Reader恶意软件更新。
研究人员还发现,Sowbug使用Starloader工具在受害者的网络上部署其它恶意软件和工具,例如凭证转储工具(Credential Dumper)、键盘记录器。Starloader文件作为软件更新(名称包括AdobeUpdate.exe、AcrobatUpdate.exe、 INTELUPDATE.EXE)传播的证据。Sowbug并未感染软件本身,而是将黑客工具的文件名称命名为类似名称。
Sowbug间谍组织利用这种骗术躲藏起来,因为它们不易引起怀疑。Sowbug黑客采取措施在办公时间以外秘密执行网络间谍行动。2016年9月至2017年3月,在一起案例中,该间谍组织在目标网络潜伏长达6个月之久。
除了Sowbug 在行动中使用Felismus的散布方式以外,这支间谍组织的身份仍是一个谜。
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/596039877.shtml
推荐阅读:
▼点击“阅读原文” 查看更多精彩内容