卡巴斯基实验室:LuckyMouse威胁组织回归
卡巴斯基实验室全球研究和分析团队(GReAT)发现多个来自一种之前未知的木马的感染案例,这种木马很可能与臭名昭彰的使用中文的威胁攻击组织——LuckyMouse有关。这种恶意软件最不同寻常的特点是其采用了精心挑选的驱动程序,使用合法的数字签名进行签名。其所用的数字签名来自一家开发信息安全相关软件的公司。
LuckyMouse威胁组织以针对全球大型组织的针对性攻击而闻名。该威胁组织的活动对整个地区都构成威胁,包括东南亚和中亚,因为他们的攻击似乎有政治目的。根据受害者特征和该威胁组织之前的攻击媒介来判断,卡巴斯基实验室研究人员认为他们检测到的这种木马被用于国家支持的网络间谍攻击活动。
卡巴斯基实验室专家发现的这种木马通过威胁攻击者制作的驱动程序感染目标计算机。这允许攻击者执行所有常用任务如执行命令、下载和上传文件以及拦截网络流量。
这个驱动程序成为这次攻击行动最有趣的部分。为了让其看上去值得信赖,该威胁组织很显然窃取了一个数字证书,其本来属于一家开发信息安全相关软件的公司,使用盗窃的证书来为恶意软件进行签名。这样做的目的是试图躲避安全解决方案的检测,因为合法的数字证书让恶意软件看上去更像合法软件。
该驱动程序另一个值得注意的特征是尽管LockyMouse有能力制作自己的恶意软件,但在攻击中使用的恶意软件似乎是来自公共可获取到的公共软件库中代码样本和自定义恶意软件的组合。这种简单地使用现成的第三方代码,而非编写自己的原始代码的原因是节省开发人员时间,还可以让确认恶意软件归属变得更困难。
卡巴斯基实验室安全研究员Denis Legezo说:“每次出现最新的LuckyMouse攻击行动时,几乎都会碰上高调的政治事件,攻击的时机通常都会在全球领袖召开会议之前。威胁组织并不担心安全研究人员发现其恶意软件的归属——因为他们在使用的恶意软件中部署了第三方代码样本,对他们来说,在释放器中添加另一层并不费时间,或者为恶意软件开发一个新的变种,确保其不易被追踪”。
卡巴斯基实验室之前曾经报告过LuckyMouse攻击组织对国家数据中心实施攻击,以实现国家级别的水坑式攻击行动。
如何保护自己:
· 不要轻易相信运行在系统上的代码。数字证书也不能保证所使用的代码中不包含后门程序。
· 使用具备恶意行为检测技术的安全解决方案,这种技术甚至能够发现之前未知的威胁。
· 为您的企业或组织的安全团队订阅高品质的威胁情报报告服务,从而可以较了解复杂的威胁组织近期所使用的攻击策略、技巧和步骤。
相关阅读
最新文章
随机推荐
- 纵横通信:智能化平台打造国内一流综合通信服务提供商
- 《福布斯》中文版发布2015华人富豪榜 李留法成豫
- 2018中国安康“7.16”全民游泳健身周汉江漂流活动
- 孩子不敢开口说英语的真正原因终于找到了!
- 99岁川军老兵:抗战剧都是瞎编
- 名师访谈:曹亚楠老师趣谈历史学习
- 【创新的年轮】1993年,“92南巡”后的创新浪潮
- 金秋湖广对抗赛一触即发 CCEA见证高校王者诞生
- 我国大病医保全覆盖
- 优衣库创始人柳井正回复试衣间视频案
- 网络支付新规意见征集
- 中国已经开始进军6G了,为什么5G还未普及就研究6G呢?
- 百家安:借鉴传承百年文化 保百姓平安和健康
- 麦迪格国际近视矫正中心怎样有效控制近视度数
- ATREUS携手泰国当红明星李海娜-偶遇最美夏日
- 环球旅游小姐亲善大使谢君俐荣获2017新浪马术时尚女士十佳
- HPP果汁掀起新高潮,看高端果汁如何高效植入综艺节目
- 新《国家安全法》7月1日生效
- 一块处理器毁了这款手机,不到一年降价1500元,网友依然无动于衷
- 2018李绍楠首推新歌《回忆旅人》虐心上线
最新评论
更多评论