查看原文
其他

网络间谍组织“Tick”采用隐写术隐藏后门木马

2017-11-10 E小编 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com


E安全11月10日讯 趋势科技发布报告指出,网络间谍组织“Tick”使用隐写术能够够更好地隐藏后门木马。

Tick(又称为Bronze Butler和REDBALDKNIGHT)将主要目标瞄向日本的组织机构,包括生物科技、电子制造、工业化学实体和政府机构,以及围绕关键基础设施、重工业、制造业以及国际关系方面展开攻击活动,旨在窃取企业知识产权与其机密信息。

趋势科技的研究人员表示,该组织已经活跃了十年之久。有外国研究人员认为,该组织位于中国。

Tick首选的恶意工具包括下载器“Gofarer”和数据窃取木马“Daserf”。Daserf能执行Shell命令,下载并上传数据。趋势科技表示,攻击者利用Daserf的变种攻击日本以外的企业,包括韩国、俄罗斯、新加坡和中国的组织机构。

此外,趋势科技的安全研究人员表示,Daserf的多个版本利用不同的技术和隐写术,在意想不到的媒介(例如图像)中嵌入代码隐藏自己。

该间谍组织通常使用鱼叉式网络钓鱼邮件发起攻击,在邮件中附加使用日语文字处理器Ichitaro创建的恶意文档,而这些文档会在受害者设备上安装并执行Daserf后门。

定期改进Daserf木马

研究人员认为,Tick会定期改进Daserf木马,提升隐蔽性。

趋势科技表示,一些恶意软件变种还显示,该组织融合隐写术执行第二阶段的攻击,并与命令与控制服务器(C&C Server)通信。有了隐写术加持,这个后门不仅能绕过防火墙,还能更快速更换第二阶段的C&C通信或恶意软件。

Daserf的感染链包括一个下载器:负责从一个被感染的站点检索这款后门。下载器安装完成后,Daserf会连接到另一个被感染站点,并下载图像文件,然后连接到C&C服务器等待后续命令。

趋势科技指出,Tick间谍组织还在另外两个Toolkit上使用隐写术:xxmm2_builder和xxmm2_steganography——XXMM(TROJ_KVNDM)下载器木马的组件。研究人员发现,XXMM和Daserf使用了相同的隐写术算法。

隐写术对有目的性的网络攻击相当有用:恶意活动隐藏得越久,窃取数据的就会越多。恶意分子善用使用各种途径,包括漏洞利用工具、恶意广告活动、银行木马、勒索软件等。Tick将恶意软件与隐写术结合能有利地躲避检测和分析。

还会定期进行哪些活动 51 29481 51 15287 0 0 4215 0 0:00:06 0:00:03 0:00:03 4214

此前E安全发表过一篇关于报道黑客组织Bronze Butler的报道, 该组织会定期进行以下操作:

  • 定期进行互联网扫描,旨在发现易受攻击的主机。

  • BRONZE BUTLER为每款工具配备特定的 C&C 服务器,同时会定期更改 C&C 服务器。该组织的 C&C 服务器中有很大一部分位于日本。

  • 该组织会定期更改各已入侵网络的 C&C IP地址与域名,从而限制其基础设施被列入黑名单的可能性。

  • 在自网络中提取目标数据后,BRONZE BUTLER通常会删除其活动所留下的相关证据。不过其仍会尽可能保留对所入侵环境的持续访问能力,定期重新访问目标站点,借以发现新的数据窃取机会。


注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/596039877.shtml

推荐阅读:

▼点击“阅读原文” 查看更多精彩内容

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存