遇到面具,可能是有史以来最复杂的恶意软件活动

  杏耀资讯     |      2018-06-19

研究人员称这是有史以来发现的最复杂的恶意软件驱动的间谍活动,他们发现了至少可以追溯到2007年的一次攻击,感染了运行Windows、OS X和Linux操作系统的计算机,受害者遍布31个国家,共有380人。

Mask activition从恶意软件示例之一中找到的一串文本中获取其名称,它包括用于从受感染的计算机虹吸加密密钥、击键、Skype对话和其他类型敏感数据的各种组件。也有证据表明,西班牙语攻击者有恶意软件在运行苹果iOS和谷歌Android移动操作系统的设备上运行。受害者包括政府机构、大使馆、研究机构、私人股本公司、活动家、能源公司和其他行业的公司。总部位于莫斯科的安全公司卡巴斯基实验室的研究人员发现,面具的精巧使得这场战役很可能是由一个资源丰富的民族国家资助的攻击者所为。

进一步阅读拼图:破解世界上最神秘的恶意软件warcheak的任务——或者说,当它的西班牙俚语翻译出现在卡巴斯基分析的源代码中时,加入了其他国家支持的恶意软件活动的万神殿,这些活动的名称包括Stuxnet、Flame、Duqu、Red 10、Icefog和Gauss。与更多的机会主义犯罪软件活动不同,这些活动通过瞄准任何拥有互联网连接计算机的人来创收,这些高级持久威胁 ( APTs )的决心要大得多。它们是针对拥有具有战略国家或业务价值的独特数据或能力的特定人员或组织而定制的威胁。卡巴斯基实验室研究人员在周一发表的一份详细分析报告中写道:“

对于Careto,我们描述了另一项复杂的网络间谍活动,这项活动已经持续了五年多未被发现”。在复杂程度上,我们把Careto放在杜曲、高斯、重做者或冰雾之上,使它成为我们观察到的最复杂的APTs之一。

攻击者依靠高目标鱼叉式网络钓鱼电子邮件将目标个人引诱到恶意网站。在某些情况下,攻击者冒充知名网站,如卫报和华盛顿邮报运营的网站。攻击者最近利用的漏洞之一是针对CVE - 2012 - 0773,这是Adobe Flash Player中的一个非常严重的漏洞,使得绕过沙盒安全保护Google Chrome和其他浏览器成为可能,以防止网站在最终用户计算机上执行恶意代码。卡巴斯基的分析指出,

使 Mask 特别的是攻击者使用的工具集的复杂性。这包括极其复杂的恶意软件、rootkit、bootkit、32位和64位Windows版本、Mac OS X和Linux版本,以及可能的Android和iPad / iPhone (苹果iOS )版本。

卡巴斯基研究人员发现Mask利用旧版卡巴斯基反病毒产品中的漏洞来隐藏自己后,第一次意外发现Mask。漏洞已经修补了一段时间,但攻击者正在利用继续运行卡巴斯基软件旧版本的计算机上的漏洞。

与过去五年使用的Stuxnet和许多其他恶意软件一样,掩码是数字签名的,在这种情况下,掩码是由一家名为tec system ltd的假公司签发的有效证书进行数字签名的。这种数字证书旨在绕过Windows和其他操作系统发出的警告,然后再执行没有得到公认证书颁发机构颁发的证书担保的程序。恶意软件在与命令和控制服务器通信时使用加密的HTTP或HTTPS通道。

研究人员能够控制一些域名或IP地址,这些域名或IP地址托管着屏蔽受感染计算机的控制服务器。研究人员总共观察到31个国家有1000个独立的IP地址连接在一起。他们还发现了由面具命名公约指定的380个不同受害者标识符的痕迹。上周,面具运动在一篇短博客文章中披露后数小时内突然关闭。卡巴斯基分析指出:

对于Careto,我们观察到这次攻击背后的组织在操作程序上有很高的专业性,包括监控他们的基础设施、关闭操作、通过访问规则避免好奇的目光、使用擦拭而不是删除日志文件等等。这在APT操作中不是很常见,将掩码放入 elite APT组部分。

Post已更新,将俚语添加到第三段。