这些攻击行动突出了新兴地区的威胁攻击者如何利用相对基本的自制恶意软件,结合公开可用的工具,对他们感兴趣的目标发动攻击。在这一案例中,攻击者使用了改进版的Remexi后门程序——这是一种能够远程控制和管理受害者计算机的工具。
Remexi最早在2015年被检测到,该后门程序被一个名为Chafer的网络间谍组织用来对中东地区的一些个人用户和一定数量的组织实施网络间谍攻击行动。最新攻击中使用的后门程序与已知的Remexi样本在代码上有相似之处,目标受害者也有重合,这意味着卡巴斯基实验室的研究人员相当有信心将这次攻击与Chafer联系起来。
最新发现的Remexi恶意软件能够远程执行命令,截取屏幕,获取浏览器数据(包括用户凭证、登陆数据和历史)以及用户输入的所有文本。使用合法的Microsoft后台智能传输服务(BITS)应用程序(一种旨在启用后台Windows更新的Windows组件)来上传被盗数据。这种恶意软件和合法代码相结合的攻击趋势有助于攻击者在制造恶意软件时节省时间和资源,而且让确认攻击归属变得更为复杂。
卡巴斯基实验室安全研究员Denis Legezo说:“当我们谈及得到政府支持的网络间谍攻击行动时,人们很容易想象到由专家开发的复杂工具进行的高级攻击行动。但这次间谍软件攻击行动幕后的人员看上去并不像复杂的威胁攻击者,而是更像是系统管理员:他们知道如何编写代码,但是他们的攻击行动更多地依靠对现有工具的创意性使用,而没有开发新的高级功能或复杂的代码架构。尽管如此,相对简单的工具也可能造成严重的危害,所以我们督促各类组织保护自己重要的信息以及系统抵御所有层面的威胁,并使用威胁情报来了解威胁环境的最新演化情况。”
卡巴斯基实验室产品能够检测这种改进的Remexi恶意软件,检测结果为Trojan.Win32.Remexi和Trojan.Win32.Agent。
要保护自己不受针对性间谍软件的危害,建议采取以下措施:
· 使用具有反针对性攻击功能和威胁情报技术的企业级安全解决方案,例如卡巴斯基威胁管理和防御解决方案。这类解决方案能够通过分析网络异常,识别和拦截高级针对性攻击,让网络安全团队对网络可以完全可见,实现响应自动化。
· 引入安全意识计划,让企业员工可以掌握识别可疑信息的技巧。邮件通常是针对性攻击的入口,卡巴斯基实验室客户可以从卡巴斯基安全意识培训中获益。
· 为企业安全团队提供最新的威胁情报数据,让他们了解网络罪犯使用的最新战略和工具,并增强已在使用的安全控制。
Read the full version of the report on Securelist.com.