首页 最新 国内 国际 数据泄露 网络战 行业 报告 观点 预警 安全意识 人工智能 招聘 云计算 大数据 程序员 系统 专家 融资 人物 工具 安全基础设施 推广 公告 教育

警告!黑客组织Iron瞄准中国门罗币钱包发起攻击

E安全5月31日讯 以色列网络安全公司 Intezer 2018年5月29日发博文称,其在2018年4月监测公共数据流时发现一个先前未知的后门。该后门由 Iron 勒索软件背后的网络犯罪组织开发,Interzer 将该组织称为“Iron网络犯罪组织”(Iron Cybercrime Group),且怀疑该黑客组织来源于中国。

据推测,Iron 网络犯罪组织过去18个月一直处于活跃状态。该组织在此次的后门中使用了意大利间谍软件厂商 Hacking Team 被泄露的 RCS 源代码。

警告!黑客组织Iron瞄准中国门罗币钱包发起攻击-E安全

大部分受害者位于亚洲

Intezer 指出,在过去一年半中:

  • Iron 组织已开发了针对 Windows、Linux 和 Android 平台的各种恶意软件,包括后门、加密货币挖矿软件和勒索软件,且使用这些恶意软件成功感染了几千个受害者,且大部分位于亚洲

  • 此外,该黑客组织似乎专注于入侵个人加密货币钱包,以窃取门罗币。

Hacking Team 声称仅向政府和执法机构出售“合法拦截”产品。2015年 Hacking Team 曾遭遇数据泄露事件,其中包括强大的黑客工具,这为网络犯罪分子改进其网络攻击工具提供了强大的能力。

Intezer 经过进一步分析后认为,实际的漏洞利用方式已被公开,这表明 Iron 并非直接从 Hacking Team 处购买的产品,而是从网上获取得来。

为何怀疑 Iron 是中国黑客组织?

Intezer 怀疑 Iron 是中国黑客组织,其原因如下:

  • Ÿ插件中有几个中文注释;

  • ŸCA 证书的根密码(caonima123)。

Intezer 研究主管阿里·埃坦向美国媒体表示,该组织可能是中国先进的犯罪组织。他认为网络犯罪组织使用 Hacking Team 老旧代码的情况并不多见,而Iron组织对这些老旧代码的使用并不是复制粘贴那么简单的操作。研究人员发现 Iron  在利用最近编写的工具开展大规模行动。

警告!黑客组织Iron瞄准中国门罗币钱包发起攻击-E安全

恶意软件躲避反病毒产品检测

基于他们的发现,Intezer 公司还怀疑大部分受害者位于中国

  • Ÿ该组织在受害者的工作站上以中文搜索钱包的文件名称。

  • Ÿ如若发现360反病毒产品,便不会部署持久机制。

Intezer 指出,上述后门、加密货币挖矿软件和勒索软件变种均经过配置躲避360反病毒引擎的检测。当 Iron 后门检测到360时,便不会将最终的 Payload 安装在目标电脑上。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。