據報道,先前不為人知的網絡間諜組織‘Sowbug’浮出水面。該間諜組織至少自2015年開始活躍,已對南美洲和東南亞國家的政府組織機構發起高度針對性的攻擊,企圖竊取敏感數據。
Sowbug與“Felismus”木馬存在關聯賽門鐵克公司的安全研究人員發現,Sowbug對阿根廷、巴西、厄瓜多爾、秘魯和馬來西亞等國的外交政策機構、政府機構和外交目標發起隱蔽性攻擊。經分析,Sowbug間諜組織使用一款名為“Felismus”的惡意軟件發起攻擊,滲透目標。
惡意軟件Felismus拉丁語中,Felis指的是貓,Mus指的是老鼠。
“Felismus”是一款精心編寫的遠程訪問木馬(RAT),自身具備的模塊化機構能隱藏或擴展功能。旦感染系統能夠進行自我更新,具備極其高超的偽裝能力,能規避反病毒程序的檢測,攻擊者能夠秘密執行命令,例如鍵盤記錄、流量分析、進一步部署惡意軟件等間諜活動。除了能讓惡意攻擊者完全控制被感染的系統,Felismus還允許攻擊者與遠程服務器通信、下載文件并執行Shell命令,因此攻擊者能執行監控、破壞或竊取數據等活動。
研究人員發現這款RAT先前的攻擊活動與Sowbug組織存在關聯,這表明該組織2015年初已開始活躍,甚至更早。
到目前為止,Sowbug似乎主要瞄準南美和東南亞的政府機構,已經滲透了阿根廷、巴西、厄瓜多爾、秘魯、文萊和馬來西亞等國的組織機構。該組織是資源雄厚,能同時滲透多個目標,并經常在目標組織機構工作時間以外的時間發起攻擊。
利用虛假的系統及應用軟件更新雖然目前尚不清楚Sowbug黑客如何設法滲透網絡,但研究人員收集的證據表明該組織利用了虛假的Windows或Adobe Reader惡意軟件更新。
研究人員還發現,Sowbug使用Starloader工具在受害者的網絡上部署其它惡意軟件和工具,例如憑證轉儲工具(Credential Dumper)、鍵盤記錄器。Starloader文件作為軟件更新(名稱包括AdobeUpdate.exe、AcrobatUpdate.exe、 INTELUPDATE.EXE)傳播的證據。Sowbug并未感染軟件本身,而是將黑客工具的文件名稱命名為類似名稱。
Sowbug間諜組織利用這種騙術躲藏起來,因為它們不易引起懷疑。Sowbug黑客采取措施在辦公時間以外秘密執行網絡間諜行動。2016年9月至2017年3月,在一起案例中,該間諜組織在目標網絡潛伏長達6個月之久。
除了Sowbug 在行動中使用Felismus的散布方式以外,這支間諜組織的身份仍是一個謎。
京公網安備 11010502049343號