新闻快讯
< >

航空航天领域须小心跨平台恶意软件AdwindRAT

E安全7月15日讯 黑客与网络犯罪分子的技术水平、创新能力以及身份隐匿效果正日益提升。

尽管各类操作系统的普及度不断增长,网络犯罪分子如今却抢在时代之前将恶意活动由传统方式转移到更为隐密的层面,此类技术手段拥有无穷无尽的攻击向量,能够跨平台起效并将检测率有效降低。

安全研究人员们发现,由Java编写而成且臭名昭著的跨平台远程访问木马Adwind已经再度兴起。这一次,其被用于“针对航空航天行业内的从业企业,影响范围则包括瑞士、奥地利、乌克兰以及美国等多个国家。”

航空航天领域须小心跨平台恶意软件AdwindRAT-E安全

Adwind

Adwind,也被称为AlienSpy、Frutas、iFrutas、Unrecom、Sockrat、JSocket以及iRat等。早在2013年就开发完成,其能够感染目前常见的一切操作系统类型,是一种跨平台、多功能的恶意软件程序,可以运行在任何支持Java平台的环境中,能够感染Windows、Mac、Linux以及Android等所有主要的操作系统。

Adwind拥有多种恶意攻击能力,具体涵盖窃取凭证、键盘记录、截图或截屏、数据收集与数据渗透等等。该木马甚至能够将受感染的设备转化为僵尸网络当中的肉鸡,从而针对各类在线服务组织起极具破坏力的DDoS攻击。

航空航天领域须小心跨平台恶意软件AdwindRAT-E安全

来自Trend Micro公司的研究人员们最近注意到,Adwind感染设备数量自2017年6月起突然激增,目前可确定的实例至少达11万7649例,较上个月增长了107%。

主要存在场景

根据近期发布的相关博文,该恶意活动被发现于两类不同场景。

  • 其一被发现于6月7日,该恶意软件利用链接将受害者转移至——其由.NET编写且包含间谍软件功能的恶意软件处;

  • 其二被发现于6月14日,利用多个不同域名托管其恶意软件及其命令与控制服务器(C&C服务器)。

这两波攻势最终都采用了类似的社交工程策略,该邮件被伪造成由地中海游艇经纪人协会(简称MYBA)宪章委员会主席发出,以欺骗受害者点击垃圾邮件中的恶意链接。一旦感染完成,该恶意软件还会收集系统指纹以及已安装的反病毒与防火墙应用列表。

研究人员们写道,“Adwind还能够执行反映操作,即Java当中的一种动态代码生成方式。后者属于Java中的一种实用功能,允许开发人员/程序员在运行时以动态方式对各属性与类进行检查、调用与实例化。在网络犯罪分子手中,该功能则可用于回避传统反病毒(简称AV)解决方案中的静态分析机制。”

航空航天领域须小心跨平台恶意软件AdwindRAT-E安全

要避免被该恶意软件影响,E安全建议大家警惕通邮件接收到的不速之“函”,同时绝不可在未经来源证实之前点击文件中的任何链接。另外,请务必确保您的系统与反病毒产品得到及时更新,从而有效应对各类最新威胁。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。