Ke3chang黑客组织向其武器库中添加了新的Ketrum恶意软件

Ke3chang黑客小组在其武器库中添加了一个名为Ketrum的新恶意软件,它从较旧的后门中借用了部分代码和功能。

该Ke3chang盗号集团(又名 APT15,泼妇熊猫,俏皮的龙和皇家APT)已经开发出被称为Ketrum新的恶意软件的源代码的借贷部分,并从他们年长的Ketrican和Okrum后门功能。

“ 5月中旬,我们从VirusTotal中识别了三个最近上传的样本,它们与旧的APT15植入物共享代码。由于文件后门系列“ Ketrican”和“ Okrum”中功能的合并,我们将这个新的样本家族命名为“ Ketrum”。阅读安全公司 Intezer 发布的报告。

“我们认为手术是在最近进行的。”

早在2013年,FireEye的安全研究人员就发现了一群与中国有联系的黑客,他们对欧洲的外交部进行了间谍活动。该活动名为“ Ke3chang行动 ”,现在,袭击背后的威胁分子被发现瞄准了全球印度大使馆的人员。

2016年5月,来自Palo Alto的研究人员发现了证据,表明Ke3chang行动背后的威胁行动者至少从2010年就开始活跃。

该网络间谍组织据信在中国以外地区开展活动,还针对军事和石油行业实体,政府承包商以及欧洲外交使团和组织。

Intezer研究人员最近发现了三个Ketrum后门样本,这些样本已上载到VirusTotal平台,他们注意到这些样本重用了Ke3chang的Ketrican和Okrum后门的部分源代码和功能。

分析继续说:“除了低级别的实现和系统API的使用之外,这两个Ketrum样本都与以前的Ke3chang工具类似,但是” “即使在两个Ketrum示例中,用于实现相同功能的低级API之间也存在差异。”

这三个Ketrum示例连接到相同的基于中文的命令和控制服务器,并已在两个不同的时间段使用。

发现Ketrum样本后,命令和控制(C2)服务器在5月中旬关闭。

本文为转载文章,源自互联网,由网络整理整理编辑,转载请注明出处:https://www.hacksafe.net/articles/network/2396.html

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论