趨勢科技發(fā)布報告指出,網(wǎng)絡(luò)間諜組織“Tick”使用隱寫術(shù)能夠夠更好地隱藏后門木馬。
Tick(又稱為Bronze Butler和REDBALDKNIGHT)將主要目標(biāo)瞄向日本的組織機構(gòu),包括生物科技、電子制造、工業(yè)化學(xué)實體和政府機構(gòu),以及圍繞關(guān)鍵基礎(chǔ)設(shè)施、重工業(yè)、制造業(yè)以及國際關(guān)系方面展開攻擊活動,旨在竊取企業(yè)知識產(chǎn)權(quán)與其機密信息。
趨勢科技的研究人員表示,該組織已經(jīng)活躍了十年之久。戴爾旗下安全公司Secureworks 事件響應(yīng)與反威脅單位 (簡稱CTU )的研究人員認(rèn)為,Tick組織可能位于中國。
Tick首選的惡意工具包括下載器“Gofarer”和數(shù)據(jù)竊取木馬“Daserf”。這款木馬能執(zhí)行Shell命令,下載并上傳數(shù)據(jù)。趨勢科技表示,攻擊者利用Daserf的變種攻擊日本以外的企業(yè),包括韓國、俄羅斯、新加坡和中國的組織機構(gòu)。
此外,趨勢科技的安全研究人員表示,Daserf多個版本利用不同的技術(shù)和隱寫術(shù),在意想不到的媒介(例如圖像)中嵌入代碼隱藏自己。
該間諜組織通常使用魚叉式網(wǎng)絡(luò)釣魚郵件發(fā)起攻擊,在郵件中附加使用日語文字處理器Ichitaro創(chuàng)建的惡意文檔,而這些文檔會在受害者設(shè)備上安裝并執(zhí)行Daserf后門。
定期改進Daserf木馬研究人員認(rèn)為,Tick會定期改進Daserf木馬,提升隱蔽性。
趨勢科技表示,一些惡意軟件變種還顯示,該組織融合隱寫術(shù)執(zhí)行第二階段的攻擊,并與命令與控制服務(wù)器(C&C Server)通信。有了隱寫術(shù)加持,這個后門不僅能繞過防火墻,還能更快速更換第二階段的C&C通信或惡意軟件。
Daserf的感染鏈包括一個下載器:負責(zé)從一個被感染的站點檢索這款后門。下載器安裝完成后,Daserf會連接到另一個被感染站點,并下載圖像文件,然后連接到C&C服務(wù)器等待后續(xù)命令。
趨勢科技指出,Tick間諜組織還在另外兩個Toolkit上使用隱寫術(shù):xxmm2_builder和xxmm2_steganography——是XXMM(TROJ_KVNDM)下載器木馬的組件。研究人員發(fā)現(xiàn),XXMM和Daserf使用了相同的隱寫術(shù)算法。
隱寫術(shù)對有目的性的網(wǎng)絡(luò)攻擊相當(dāng)有用:惡意活動隱藏得越久,竊取數(shù)據(jù)的就會越多。惡意分子善用使用各種途徑,包括漏洞利用工具、惡意廣告活動、銀行木馬、勒索軟件等。Tick將惡意軟件與隱寫術(shù)結(jié)合能有利地躲避檢測和分析。
此前E安全發(fā)表過一篇關(guān)于黑客組織Bronze Butler的報道,其會定期進行以下操作:
定期進行互聯(lián)網(wǎng)掃描,旨在發(fā)現(xiàn)易受攻擊的主機。
BRONZE BUTLER為每款工具配備特定的 C&C 服務(wù)器,同時會定期更改 C&C 服務(wù)器。該組織的 C&C 服務(wù)器中有很大一部分位于日本。
該組織會定期更改各已入侵網(wǎng)絡(luò)的 C&C IP地址與域名,從而限制其基礎(chǔ)設(shè)施被列入黑名單的可能性。
在自網(wǎng)絡(luò)中提取目標(biāo)數(shù)據(jù)后,BRONZE BUTLER通常會刪除其活動所留下的相關(guān)證據(jù)。不過其仍會盡可能保留對所入侵環(huán)境的持續(xù)訪問能力,定期重新訪問目標(biāo)站點,借以發(fā)現(xiàn)新的數(shù)據(jù)竊取機會。
京公網(wǎng)安備 11010502049343號