据外媒 8 月 30 日报道,网络安全公司 ESET 研究人员近期发现了一项针对全球各领事馆部委与大使馆的新型后门恶意软件 Gazer 监控,疑似与俄罗斯 APT 组织 Turla 有关。
Turla 是俄罗斯网络间谍组织之一,又称 Waterbug 、Venomous Bear、Krypton。自 2007 年以来一直处于活跃状态,其主要针对欧洲外交部等政府机构与军工企业展开攻击活动。历史上的典型受害目标有瑞士科技与军备制造企业 RUAG 公司、美国中央司令部等。
此次调查显示,恶意软件 Gazer 由开发人员采用 C ++ 程序编写,经鱼叉式钓鱼攻击进行传播,可由攻击者通过 C&C 服务器远程接收加密指令,并可使用受损合法网站( 多数使用 WordPress )作为代理规避安全软件检测。研究人员表示,该后门的使用最早可追溯至 2016 年,且整体组件与 Turla 开发的 Carbon 与 Kazuar 后门存在相似之处。此外,Gazer 后门还使用代码注入技术控制受损设备并长期隐藏自身,以便窃取用户更多敏感信息。
恶意软件使用的 “ Solid Loop Ltd ” 有效证书
目前,研究人员已证实 Gazer 后门恶意软件存在四种不同变种,欧洲地区政府机构受影响情况最为严重。有趣的是,不仅早期版本的 Gazer 签发了 Comodo 颁发的 “ Solid Loop Ltd ” 有效证书,而最新版本也签发了 “ Ultimate Computer Support Ltd. ” 颁发的 SSL 证书。对此,研究人员建议系统管理员启用全方位检测与预防系统,禁用过时的协议与端口、主动监控网络流量与部署安全机制。
相关链接:
○ ESET 研究报告《Gazing at Gazer : Turla’s new second stage backdoor》
历史资讯:
原作者:Danny Palmer,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
请登录后发表评论
注册