E安全11月9日讯 先前不为人知的网络间谍组织‘Sowbug’浮出水面。该间谍组织至少自2015年开始活跃，已对南美洲和东南亚国家的政府组织机构发起高度针对性的攻击，企图窃取敏感数据。

Sowbug与“Felismus”木马存在关联

赛门铁克公司的安全研究人员发现，Sowbug对阿根廷、巴西、厄瓜多尔、秘鲁和马来西亚等国的外交政策机构、政府机构和外交目标发起隐蔽性攻击。经分析，Sowbug间谍组织使用一款名为“Felismus”的恶意软件发起攻击，渗透目标。

恶意软件Felismus

拉丁语中，Felis指的是猫，Mus指的是老鼠。

“Felismus”是一款精心编写的远程访问木马（RAT），自身具备的模块化机构能隐藏或扩展功能。旦感染系统能够进行自我更新，具备极其高超的伪装能力，能规避反病毒程序的检测，攻击者能够秘密执行命令，例如键盘记录、流量分析、进一步部署恶意软件等间谍活动。除了能让恶意攻击者完全控制被感染的系统，Felismus还允许攻击者与远程服务器通信、下载文件并执行Shell命令，因此攻击者能执行监控、破坏或窃取数据等活动。

研究人员发现这款RAT先前的攻击活动与Sowbug组织存在关联，这表明该组织2015年初已开始活跃，甚至更早。

到目前为止，Sowbug似乎主要瞄准南美和东南亚的政府机构，已经渗透了阿根廷、巴西、厄瓜多尔、秘鲁、文莱和马来西亚等国的组织机构。该组织资源雄厚，能同时渗透多个目标，并经常在目标组织机构非工作时段发起攻击。

利用虚假的系统及应用软件更新

虽然目前尚不清楚Sowbug黑客如何设法渗透网络，但研究人员收集的证据表明该组织利用了虚假的Windows或Adobe Reader恶意软件更新。

研究人员还发现，Sowbug使用Starloader工具在受害者的网络上部署其它恶意软件和工具，例如凭证转储工具（Credential Dumper）、键盘记录器。Starloader文件作为软件更新（名称包括AdobeUpdate.exe、AcrobatUpdate.exe、 INTELUPDATE.EXE）传播的证据。Sowbug并未感染软件本身，而是将黑客工具的文件名称命名为类似名称。

Sowbug间谍组织利用这种骗术躲藏起来，因为它们不易引起怀疑。Sowbug黑客采取措施在办公时间以外秘密执行网络间谍行动。2016年9月至2017年3月，在一起案例中，该间谍组织在目标网络潜伏长达6个月之久。

除了Sowbug 在行动中使用Felismus的散布方式以外，这支间谍组织的身份仍是一个谜。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/596039877.shtml

▼点击“阅读原文” 查看更多精彩内容