Ke3chang黑客组织向其武器库中添加了新的Ketrum恶意软件

Ke3chang黑客小组在其武器库中添加了一个名为Ketrum的新恶意软件，它从较旧的后门中借用了部分代码和功能。

该Ke3chang盗号集团（又名 APT15，泼妇熊猫，俏皮的龙和皇家APT）已经开发出被称为Ketrum新的恶意软件的源代码的借贷部分，并从他们年长的Ketrican和Okrum后门功能。

“ 5月中旬，我们从VirusTotal中识别了三个最近上传的样本，它们与旧的APT15植入物共享代码。由于文件后门系列“ Ketrican”和“ Okrum”中功能的合并，我们将这个新的样本家族命名为“ Ketrum”。阅读安全公司 Intezer 发布的报告。

“我们认为手术是在最近进行的。”

早在2013年，FireEye的安全研究人员就发现了一群与中国有联系的黑客，他们对欧洲的外交部进行了间谍活动。该活动名为“ Ke3chang行动 ”，现在，袭击背后的威胁分子被发现瞄准了全球印度大使馆的人员。

2016年5月，来自Palo Alto的研究人员发现了证据，表明Ke3chang行动背后的威胁行动者至少从2010年就开始活跃。

该网络间谍组织据信在中国以外地区开展活动，还针对军事和石油行业实体，政府承包商以及欧洲外交使团和组织。

Intezer研究人员最近发现了三个Ketrum后门样本，这些样本已上载到VirusTotal平台，他们注意到这些样本重用了Ke3chang的Ketrican和Okrum后门的部分源代码和功能。

分析继续说：“除了低级别的实现和系统API的使用之外，这两个Ketrum样本都与以前的Ke3chang工具类似，但是” “即使在两个Ketrum示例中，用于实现相同功能的低级API之间也存在差异。”

这三个Ketrum示例连接到相同的基于中文的命令和控制服务器，并已在两个不同的时间段使用。

发现Ketrum样本后，命令和控制（C2）服务器在5月中旬关闭。