新闻快讯
< >

网络间谍组织“Tick”采用隐写术隐藏后门木马

E安全11月10日讯 趋势科技发布报告指出,网络间谍组织“Tick”使用隐写术能够够更好地隐藏后门木马。

Tick(又称为Bronze Butler和REDBALDKNIGHT)将主要目标瞄向日本的组织机构,包括生物科技、电子制造、工业化学实体和政府机构,以及围绕关键基础设施、重工业、制造业以及国际关系方面展开攻击活动,旨在窃取企业知识产权与其机密信息。

网络间谍组织“Tick”采用隐写术隐藏后门木马-E安全

趋势科技的研究人员表示,该组织已经活跃了十年之久。戴尔旗下安全公司Secureworks®事件响应与反威胁单位™(简称CTU™)的研究人员认为,Tick组织可能位于中国

Tick首选的恶意工具包括下载器“Gofarer”和数据窃取木马“Daserf”。这款木马能执行Shell命令,下载并上传数据。趋势科技表示,攻击者利用Daserf的变种攻击日本以外的企业,包括韩国、俄罗斯、新加坡和中国的组织机构。

此外,趋势科技的安全研究人员表示,Daserf多个版本利用不同的技术和隐写术,在意想不到的媒介(例如图像)中嵌入代码隐藏自己。

该间谍组织通常使用鱼叉式网络钓鱼邮件发起攻击,在邮件中附加使用日语文字处理器Ichitaro创建的恶意文档,而这些文档会在受害者设备上安装并执行Daserf后门。

定期改进Daserf木马

研究人员认为,Tick会定期改进Daserf木马,提升隐蔽性。

趋势科技表示,一些恶意软件变种还显示,该组织融合隐写术执行第二阶段的攻击,并与命令与控制服务器(C&C Server)通信。有了隐写术加持,这个后门不仅能绕过防火墙,还能更快速更换第二阶段的C&C通信或恶意软件。

Daserf的感染链包括一个下载器:负责从一个被感染的站点检索这款后门。下载器安装完成后,Daserf会连接到另一个被感染站点,并下载图像文件,然后连接到C&C服务器等待后续命令。

趋势科技指出,Tick间谍组织还在另外两个Toolkit上使用隐写术:xxmm2_builder和xxmm2_steganography——是XXMM(TROJ_KVNDM)下载器木马的组件。研究人员发现,XXMM和Daserf使用了相同的隐写术算法。

隐写术对有目的性的网络攻击相当有用:恶意活动隐藏得越久,窃取数据的就会越多。恶意分子善用使用各种途径,包括漏洞利用工具、恶意广告活动、银行木马、勒索软件等。Tick将恶意软件与隐写术结合能有利地躲避检测和分析。

QQ截图20171109190612.jpg

还会定期进行哪些活动?

此前E安全发表过一篇关于黑客组织Bronze Butler的报道,其会定期进行以下操作:

  • 定期进行互联网扫描,旨在发现易受攻击的主机。

  • BRONZE BUTLER为每款工具配备特定的 C&C 服务器,同时会定期更改 C&C 服务器。该组织的 C&C 服务器中有很大一部分位于日本。

  • 该组织会定期更改各已入侵网络的 C&C IP地址与域名,从而限制其基础设施被列入黑名单的可能性。

  • 在自网络中提取目标数据后,BRONZE BUTLER通常会删除其活动所留下的相关证据。不过其仍会尽可能保留对所入侵环境的持续访问能力,定期重新访问目标站点,借以发现新的数据窃取机会。

相关阅读:

戴尔称“中国黑客”盯上日本企业欲窃知识产权?

黑客组织Tick被爆自2012年以来,对日本关键基础设施、重工业等进行持续性网络攻击

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。