|
卡巴斯基实验室全球研究和分析团队(GReAT)发现多个来自一种之前未知的木马的感染案例,这种木马很可能与臭名昭彰的使用中文的威胁攻击组织——LuckyMouse有关。这种恶意软件最不同寻常的特点是其采用了精心挑选的驱动程序,使用合法的数字签名进行签名。其所用的数字签名来自一家开发信息安全相关软件的公司。 LuckyMouse威胁组织以针对全球大型组织的针对性攻击而闻名。该威胁组织的活动对整个地区都构成威胁,包括东南亚和中亚,因为他们的攻击似乎有政治目的。根据受害者特征和该威胁组织之前的攻击媒介来判断,卡巴斯基实验室研究人员认为他们检测到的这种木马被用于国家支持的网络间谍攻击活动。 卡巴斯基实验室专家发现的这种木马通过威胁攻击者制作的驱动程序感染目标计算机。这允许攻击者执行所有常用任务如执行命令、下载和上传文件以及拦截网络流量。 这个驱动程序成为这次攻击行动最有趣的部分。为了让其看上去值得信赖,该威胁组织很显然窃取了一个数字证书,其本来属于一家开发信息安全相关软件的公司,使用盗窃的证书来为恶意软件进行签名。这样做的目的是试图躲避安全解决方案的检测,因为合法的数字证书让恶意软件看上去更像合法软件。 该驱动程序另一个值得注意的特征是尽管LockyMouse有能力制作自己的恶意软件,但在攻击中使用的恶意软件似乎是来自公共可获取到的公共软件库中代码样本和自定义恶意软件的组合。这种简单地使用现成的第三方代码,而非编写自己的原始代码的原因是节省开发人员时间,还可以让确认恶意软件归属变得更困难。 卡巴斯基实验室安全研究员Denis Legezo说:“每次出现最新的LuckyMouse攻击行动时,几乎都会碰上高调的政治事件,攻击的时机通常都会在全球领袖召开会议之前。威胁组织并不担心安全研究人员发现其恶意软件的归属——因为他们在使用的恶意软件中部署了第三方代码样本,对他们来说,在释放器中添加另一层并不费时间,或者为恶意软件开发一个新的变种,确保其不易被追踪”。 卡巴斯基实验室之前曾经报告过LuckyMouse攻击组织对国家数据中心实施攻击,以实现国家级别的水坑式攻击行动。 如何保护自己: · 不要轻易相信运行在系统上的代码。数字证书也不能保证所使用的代码中不包含后门程序。 · 使用具备恶意行为检测技术的安全解决方案,这种技术甚至能够发现之前未知的威胁。 · 为您的企业或组织的安全团队订阅高品质的威胁情报报告服务,从而可以较了解复杂的威胁组织近期所使用的攻击策略、技巧和步骤。 |
- 关注天气:
