在過去的一年里，ESET檢測并分析了若干有針對性的進行間諜活動的惡意軟件，被稱作SBDH工具集。它使用了強大的過濾器，多種通信方式以及非常有意思的駐留技術。

它的目的是從政府或公共研究機構中竊取特定類型的文件，主要與中東歐的經濟增長和合作相關。

這個工具集將雙擴展名的可執行文件附加到釣魚郵件中（指望Windows默認隱藏擴展名），以這種方式進行傳播。為了增加讓接收者運行的機會，它使用了一些正常的微軟應用程序或者Word文檔的圖標。

一旦成功運行，惡意軟件訪問一個遠程地址，下載工具集中其它兩個重要的組件：一個后門和一個數據竊取工具。這些模塊互相組合，攻擊者不僅可以遠程控制被攻下的機器，也可以高效地盜取數據。

使用文件擴展名，創建日期，文件大小以及其它條件，強大的過濾器可以指定要竊取的數據的詳細信息。這些條件可以通過惡意軟件的配置文件來修改。

由于這個間諜工具集里的所有組件都要與C&C服務器建立連接，惡意軟件嚴重依賴于網絡通信。

為了增加通信的機會，它使用了多種連接方法。首先，它嘗試使用HTTP協議。如果失敗了，SBDH惡意軟件會選擇第二種方法，嘗試通過SMTP協議訪問免費的外部網關。

最后的手段，它可以通過向Micrsoft Outlook Express注入一個構造的郵件來通信。在這種方式下，會以當前登錄用戶的身份發送注入的郵件。惡意軟件可以繞過安全防護措施（假設用戶有權限發送和接受郵件）。為了避免被發現，惡意軟件產生的惡意消息會在發送之后直接移動到受害者的發件箱中。

在接收命令時。惡意軟件搜索受害者的收件箱，識別特定主題的郵件。如果工具集找到了這樣的郵件，他們解析并檢查惡意軟件的命令。最后，修改這些郵件的主題，防止被惡意軟件再次檢查到。

然而，最后一個方法只用到了2006年，那年，新的Windows Mail application代替了outlook Express。在那之后，工具集的開發者將注意力集中到了改進HTTP通信方法上，開始使用偽造的圖像文件承載數據，來掩飾與C&C服務器的通信。

以防C&C服務器的不能訪問，后門組件還有另外一個備選方案，一個硬編碼的指向圖片的URL，圖片包含了C%C服務器的地址。

這個工具的一些樣本使用了一個有趣的駐留方法，惡意軟件替換了Word文檔的處理程序，當感染的系統嘗試打開或編輯Word文檔的時候，惡意軟件就會執行。

最后，這個工具集的名稱的來源。在下載者的編譯路徑中發現了“SBDH”字符串，而且“B64SBDH”字符串作為一個觸發器，會觸發從遠程服務器下載其它剩下的組件。

SBDH間諜工具集說明，即便是高級威脅任然使用簡單的攻擊向量進行傳播，比如惡意的郵件附件。當然，經過適當培訓的員工可以認出這個危險行為，通過實現一個多層次的安全解決方案可以避免被攻擊的危險。

哈希

1345B6189441CD1ED9036EF098ADF12746ECF7CB

15B956FEEE0FA42F89C67CA568A182C348E20EAD

F2A1E4B58C9449776BD69F62A8F2BA7A72580DA2

7F32CAE8D6821FD50DE571C40A8342ACAF858541

5DDBDD3CF632F7325D6C261BCC516627D772381A

4B94E8A10C5BCA43797283ECD24DF24421E411D2

D2E9EB26F3212D96E341E4CBA7483EF46DF8A1BE

09C56B14DB3785033C8FDEC41F7EA9497350EDAE

*本文翻譯自：http://www.welivesecurity.com/2016/07/01/espionage-toolkit-targeting-central-eastern-europe-uncovered/，譯者：felix，轉載須注明來自FreeBuf