E安全11月10日讯 趋势科技发布报告指出，网络间谍组织“Tick”使用隐写术能够够更好地隐藏后门木马。

Tick（又称为Bronze Butler和REDBALDKNIGHT）将主要目标瞄向日本的组织机构，包括生物科技、电子制造、工业化学实体和政府机构，以及围绕关键基础设施、重工业、制造业以及国际关系方面展开攻击活动，旨在窃取企业知识产权与其机密信息。

趋势科技的研究人员表示，该组织已经活跃了十年之久。有外国研究人员认为，该组织位于中国。

Tick首选的恶意工具包括下载器“Gofarer”和数据窃取木马“Daserf”。Daserf能执行Shell命令，下载并上传数据。趋势科技表示，攻击者利用Daserf的变种攻击日本以外的企业，包括韩国、俄罗斯、新加坡和中国的组织机构。

此外，趋势科技的安全研究人员表示，Daserf的多个版本利用不同的技术和隐写术，在意想不到的媒介（例如图像）中嵌入代码隐藏自己。

该间谍组织通常使用鱼叉式网络钓鱼邮件发起攻击，在邮件中附加使用日语文字处理器Ichitaro创建的恶意文档，而这些文档会在受害者设备上安装并执行Daserf后门。

定期改进Daserf木马

研究人员认为，Tick会定期改进Daserf木马，提升隐蔽性。

趋势科技表示，一些恶意软件变种还显示，该组织融合隐写术执行第二阶段的攻击，并与命令与控制服务器（C&C Server）通信。有了隐写术加持，这个后门不仅能绕过防火墙，还能更快速更换第二阶段的C&C通信或恶意软件。

Daserf的感染链包括一个下载器：负责从一个被感染的站点检索这款后门。下载器安装完成后，Daserf会连接到另一个被感染站点，并下载图像文件，然后连接到C&C服务器等待后续命令。

趋势科技指出，Tick间谍组织还在另外两个Toolkit上使用隐写术：xxmm2_builder和xxmm2_steganography——XXMM（TROJ_KVNDM）下载器木马的组件。研究人员发现，XXMM和Daserf使用了相同的隐写术算法。

隐写术对有目的性的网络攻击相当有用：恶意活动隐藏得越久，窃取数据的就会越多。恶意分子善用使用各种途径，包括漏洞利用工具、恶意广告活动、银行木马、勒索软件等。Tick将恶意软件与隐写术结合能有利地躲避检测和分析。

还会定期进行哪些活动 51 29481 51 15287 0 0 4215 0 0:00:06 0:00:03 0:00:03 4214

此前E安全发表过一篇关于报道黑客组织Bronze Butler的报道， 该组织会定期进行以下操作：

• 定期进行互联网扫描，旨在发现易受攻击的主机。

• BRONZE BUTLER为每款工具配备特定的 C&C 服务器，同时会定期更改 C&C 服务器。该组织的 C&C 服务器中有很大一部分位于日本。

• 该组织会定期更改各已入侵网络的 C&C IP地址与域名，从而限制其基础设施被列入黑名单的可能性。

• 在自网络中提取目标数据后，BRONZE BUTLER通常会删除其活动所留下的相关证据。不过其仍会尽可能保留对所入侵环境的持续访问能力，定期重新访问目标站点，借以发现新的数据窃取机会。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/596039877.shtml

▼点击“阅读原文” 查看更多精彩内容