Adwind 是一種跨平臺、多功能的惡意軟件程序,它還附帶有 AlienSpy 、Frutas 、 Unrecom 、 Sockrat 、 JSocket 、 jRat ,所有這些惡意軟件都是通過同一個惡意軟件即服務平臺進行傳播的。
調查結果顯示,2013年至2016年之間,Adwind 惡意軟件的多個版本被用于攻擊至少全球44萬余個目標,包括個人用戶、盈利及非盈利性組織。目前,該平臺及相關惡意軟件仍在活躍中。
惡意軟件即服務(Malware-as-a-Service)
2015年末,卡巴斯基實驗室的研究人員注意到一種特別的惡意軟件程序。他們是在該程序對新加坡某家銀行發動攻擊時發現它的。釣魚郵件中附帶了一種惡意的 JAR 文件,攻擊者將其發送給了該銀行的員工。這種惡意軟件功能很多,包括多平臺攻擊、回避反病毒軟件等,這立即引起了研究人員的注意。
結果顯示,這些機構受到了 Adwind 遠程控制工具的攻擊,它是一種公開出售的后門程序,全部由 Java 寫成,這也給它帶來了跨平臺的能力。它可以控制 Windows 、 OS X 、 Linux 、 安卓平臺,打開遠程控制功能,收集并竊取數據。
如果目標用戶打開了 JAR 附件,惡意軟件將自動安裝并試圖與幕后控制服務器進行通訊。其擁有以下功能:
鍵盤記錄
密碼記錄,從在線論壇上獲取數據
屏幕截圖
拍照片,通過攝像頭錄像
通過麥克風錄音
傳輸文件
獲得系統和用戶信息
竊取加密貨幣錢包密鑰
管理安卓平臺短信
竊取 VPN 證書
不僅只有想碰運氣的黑客在大規模詐騙活動中使用 Adwind ,它還被用來進行針對性攻擊。
2015年8月,有新聞報道稱 Adwind 與針對阿根廷某檢察官的某次網絡間諜行動有關,涉事檢察官則早在2015年1月自殺身亡。針對新加坡某銀行的事件屬于另一次針對性攻擊。如果仔細考察與 Adwind 遠程控制工具有關的安全事件,就會發現這些針對性攻擊不是個案。
針對性攻擊目標
卡巴斯基實驗室的研究人員在調查期間設法分析了200份與 Adwind 惡意軟件有關的釣魚攻擊,他們發現最容易遭到攻擊的產業如下:
制造業
金融
工程
設計
零售
政府
物流
通訊
軟件
教育
食品
醫療
媒體
能源
卡巴斯基安全網絡(Kaspersky Security Network)給出的數據表明,在2015年8月到2016年1月這半年期間觀察到的200次與 Adwind 遠程控制工具有關的釣魚攻擊影響了全球超過68萬名用戶。
上圖是排名前10的Adwind惡意軟件即服務平臺的攻擊目標分布情況,包括地理位置及所屬行業。
卡巴斯基安全網絡對受害者數據進行的地理歸納顯示,近半數人生活在以下10個國家:阿聯酋、德國、印度、美國、意大利、俄羅斯、越南、香港、土耳其、臺灣。
Adwind惡意軟件的發展簡史
卡巴斯基研究人員通過研究受害者檔案,發現 Adwind 平臺的買家可以分為以下幾類:想要使用更先進工具的騙子、惡意競爭者、黑客雇傭兵以及想要監控身邊朋友的個人。
威脅即服務(Threat-as-a-Service)
Adwind 遠程控制軟件和其它商業性惡意軟件有一個很大的不同:它是作為服務開放給購買者的,使用者僅對使用軟件付費。卡巴斯基實驗室的研究人員通過研究用戶活動和內部聊天室估計,2015年底全世界大約有1800個 Adwind 的使用者。這使它成為了迄今為止最大的惡意軟件平臺。
卡巴斯基實驗室首席安全專家亞歷山德·古斯特夫(Aleksandr Gostev)表示:“Adwind 平臺大大降低了網絡犯罪的專業知識成本,這使得大量潛在的網絡罪犯能夠將其目標變成現實。根據目前對新加坡攻擊的分析,我們認為此事件背后的黑客遠非專業人士。此外,大多數 Adwind 平臺的用戶應當都屬于這種計算機水平。這種趨勢讓人擔憂。”
卡巴斯基實驗室全球研究與分析團隊負責人維塔利·卡姆洛克(Vitaly Kamluk)說:“盡管安全廠商近年來發布了很多關于此工具各個版本的報告,這一平臺仍舊活躍,并助長了各式各樣的犯罪行為。我們進行此項研究的目的是吸引信息安全圈子和執法機構的注意,以徹底搗毀該工具。”
卡巴斯基已將此次研究的成果上報給執法機構。
卡巴斯基實驗室建議企業重新考量部署 Java 平臺的必要性,并將其對所有非授權來源禁用。
京公網安備 11010502049343號