赛门铁克近期发现某个活跃时间超过2年的网络间谍组织
知名安全软件赛门铁克日前发布报告称已经发现了某个主要针对南美洲和东南亚企业和政府的网络间谍组织。
该网络间谍组织的主要目标是上述地区政府和企业的机密文件,包括部分国家的外交部门机密文件遭到窃取。
对该网络间谍组织使用的病毒进行分析后发现,目前包括南美多个政府部门和马来西亚外交机构已遭到攻击。
设计及其复杂的病毒躲避追查:
该网络间谍组织开发的名为Felismus病毒具备及其复杂的逻辑,同时在设计时采用模块化结构方便后续扩展。
当成功感染目标设备后即可连接远程服务器等待新的指令,攻击者可以远程下发指令操纵病毒完成特定需求。
正是因为模块化的设计因此攻击者可以以该病毒为基地,随时调整需要安装的各个间谍软件以完成特定任务。
在运行上该病毒会规避安全软件的检测及研究人员的调试,当遇到此类环境时病毒停止工作伪装成正常应用。
安插各类记录器监听和窃取密码:
以Windows系统为例: 基于IE浏览器保存的各类密码最终都会汇集在控制面板的凭据管理器内并且可以查看。
该病毒在运行后会立刻加载凭据转存器将用户保存在凭据管理器中的各类网站地址、用户账号以及密码上传。
同时还会安装键盘记录器记录用户所有的敲击记录上传供分析,同时必要的时候还会开启麦克风监听和录音。
活跃时间已经超过2年:
在经过多次分析后安全专家认为该网络间谍组织的活跃时间已经超过两年,并且与多次网络攻击活动有关联。
同时现有证据可以证实该网络间谍组织具备充足的资源,因此该组织的背后很可能有国家为其提供资金支持。
赛门铁克在报告中称该间谍组织能够同时渗透多个目标,而且经常在目标政府部门和机构工作时间之外运作。
伪装成更新器或正规软件进行渗透:
为了能够让自己的木马成功渗透至目标机构的内网,该网络间谍组织主要依靠将其木马伪装成正规应用程序。
例如已被发现含有木马的应用程序包括AdobeUpdate.exe、AcrobatUpdate.exe以及 IntelUpdate.exe 等。
这些应用程序名称都是正规软件的更新程序,因此对于不熟悉电脑和安全方面的用户说具有非常大的迷惑性。
同时在成功渗透后病毒还会将自己转译至正规软件的目录中,让普通用户看起来不会发现存在什么异常文件。