新闻快讯
< >

网络间谍组织Sowbug钟爱窃取外交机密身份成谜

E安全11月9日讯 据报道,先前不为人知的网络间谍组织‘Sowbug’浮出水面。该间谍组织至少自2015年开始活跃,已对南美洲和东南亚国家的政府组织机构发起高度针对性的攻击,企图窃取敏感数据。

网络间谍组织Sowbug窃取外交机密 神秘仍是谜-E安全

Sowbug与“Felismus”木马存在关联

赛门铁克公司的安全研究人员发现,Sowbug对阿根廷、巴西、厄瓜多尔、秘鲁和马来西亚等国的外交政策机构、政府机构和外交目标发起隐蔽性攻击。经分析,Sowbug间谍组织使用一款名为“Felismus”的恶意软件发起攻击,渗透目标。

恶意软件Felismus

拉丁语中,Felis指的是猫,Mus指的是老鼠。

“Felismus”是一款精心编写的远程访问木马(RAT),自身具备的模块化机构能隐藏或扩展功能。旦感染系统能够进行自我更新,具备极其高超的伪装能力,能规避反病毒程序的检测,攻击者能够秘密执行命令,例如键盘记录、流量分析、进一步部署恶意软件等间谍活动。除了能让恶意攻击者完全控制被感染的系统,Felismus还允许攻击者与远程服务器通信、下载文件并执行Shell命令,因此攻击者能执行监控、破坏或窃取数据等活动。

网络间谍组织Sowbug窃取外交机密 神秘仍是谜-E安全

研究人员发现这款RAT先前的攻击活动与Sowbug组织存在关联,这表明该组织2015年初已开始活跃,甚至更早。

到目前为止,Sowbug似乎主要瞄准南美和东南亚的政府机构,已经渗透了阿根廷、巴西、厄瓜多尔、秘鲁、文莱和马来西亚等国的组织机构。该组织是资源雄厚,能同时渗透多个目标,并经常在目标组织机构工作时间以外的时间发起攻击。

利用虚假的系统及应用软件更新

虽然目前尚不清楚Sowbug黑客如何设法渗透网络,但研究人员收集的证据表明该组织利用了虚假的Windows或Adobe Reader恶意软件更新。

研究人员还发现,Sowbug使用Starloader工具在受害者的网络上部署其它恶意软件和工具,例如凭证转储工具(Credential Dumper)、键盘记录器。Starloader文件作为软件更新(名称包括AdobeUpdate.exe、AcrobatUpdate.exe、 INTELUPDATE.EXE)传播的证据。Sowbug并未感染软件本身,而是将黑客工具的文件名称命名为类似名称。

Sowbug间谍组织利用这种骗术躲藏起来,因为它们不易引起怀疑。Sowbug黑客采取措施在办公时间以外秘密执行网络间谍行动。2016年9月至2017年3月,在一起案例中,该间谍组织在目标网络潜伏长达6个月之久。

除了Sowbug 在行动中使用Felismus的散布方式以外,这支间谍组织的身份仍是一个谜。

相关阅读:

神秘木马Felismus初现身 幕后黑手谜云重重

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

共有4687篇相关文章
热门关键词
E安全