網(wǎng)絡(luò)間諜小組重新啟用12年前的Bifrose后門(mén)

責(zé)任編輯:editor005

作者:Venvoo

2015-12-16 15:03:32

摘自:安全牛

一個(gè)網(wǎng)絡(luò)間諜活動(dòng)的黑客小組自2010年起就開(kāi)始攻擊亞洲關(guān)鍵行業(yè)的公司,使用的后門(mén)是Bifrose。盡管Bifrose早已廣為人知,殺毒軟件也很容易檢測(cè)到它,這些措施仍能使該小組的黑客活動(dòng)保持有效性。

一個(gè)網(wǎng)絡(luò)間諜活動(dòng)的黑客小組自2010年起就開(kāi)始攻擊亞洲關(guān)鍵行業(yè)的公司,使用的后門(mén)是Bifrose。該后門(mén)的歷史可以上溯到2004年。

來(lái)自反病毒廠商趨勢(shì)科技的研究人員將該小組命名為 Shrouded Crossbow。自2010年起,這個(gè)黑客小組就開(kāi)始針對(duì)于政府有關(guān)的私人企業(yè)、政府承包商,以及來(lái)自消費(fèi)電子、計(jì)算機(jī)、醫(yī)療保健、金融領(lǐng)域的企業(yè)展開(kāi)攻擊。

該小組的行動(dòng)表明,從事網(wǎng)絡(luò)間諜活動(dòng)并不總是需要高昂的經(jīng)費(fèi)、零日漏洞和前所未見(jiàn)的惡意程序。黑客可以改進(jìn)舊的犯罪工具,并高效的完成攻擊。

該小組使用的工具中包括Kivar和Xbow等后門(mén)。這些后門(mén)是基于Biforse,或者根據(jù)它改寫(xiě)的,它們?cè)诘叵潞谑兄械膬r(jià)格大約是1萬(wàn)美元。

趨勢(shì)科技在博客中提到;“我們認(rèn)為出現(xiàn)的情況是這樣:該小組購(gòu)買(mǎi)了Bifrose的源代碼,在升級(jí)其功能之后,他們?cè)O(shè)計(jì)了新的安裝流程,開(kāi)發(fā)了新的Builder,以獲得獨(dú)一無(wú)二的加載器——后門(mén)配對(duì),并且讓后門(mén)的功能更加簡(jiǎn)潔有效。”

盡管Bifrose早已廣為人知,殺毒軟件也很容易檢測(cè)到它,這些措施仍能使該小組的黑客活動(dòng)保持有效性。

趨勢(shì)科技的研究者們表示,該小組存在一個(gè)有趣的情況:它至少由兩個(gè)團(tuán)隊(duì)組成,而很大可能會(huì)存在三個(gè)或以上的團(tuán)隊(duì)。研究人員是通過(guò)研究不同版本的開(kāi)發(fā)者ID發(fā)現(xiàn)這一點(diǎn)的。

二號(hào)團(tuán)隊(duì)負(fù)責(zé)選擇目標(biāo)、配置惡意軟件的參數(shù)、編寫(xiě)并發(fā)送魚(yú)叉式釣魚(yú)郵件。這些惡意電子郵件帶有惡意附件,內(nèi)容則被偽裝成新聞報(bào)道、簡(jiǎn)歷、政府?dāng)?shù)據(jù)、會(huì)議請(qǐng)求。

三號(hào)團(tuán)隊(duì)的工作可能是維護(hù)大量幕后服務(wù)器,這些服務(wù)器的數(shù)量有100多臺(tái),其使用的地址和域名通過(guò)一種有組織的方式進(jìn)行更新。研究者稱,該黑客小組一直在注冊(cè)新的域名。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)