赛门铁克最近发现了一个此前不为人所知的网络间谍组织——名叫“Sowbug(潮虫)”。该组织一直在对南美和东南亚企业进行高度针对性的网络攻击,其中涉及到一些外交政策政府部门和外交组织机构。据赛门铁克公司最近发布的一份分析报告显示,“潮虫”网络间谍组织会采取一些间谍攻击活动,来窃取政府部门文件。
赛门铁克的专家还发现,“潮虫”黑客组织还对阿根廷、巴西、厄瓜多尔、秘鲁、以及马来西亚等国的外交政策部门、政府机构和外交组织发动过秘密袭击。他们使用了一个名为“Felismus”的恶意软件来破坏目标系统,相关恶意代码是在今年三月份被 Forcepoint 公司研究人员首次发现,不过只有赛门铁克公司的专家探索到这些恶意代码其实和“潮虫”组织相关。
Forcepoint 公司在一份声明中表示:
“根据分析显示,恶意软件总体上是模块化的,代码编写的很出色,而且会竭尽全力地组织安全分析工作和沟通内容。很明显,这些攻击都是有高度针对性的。此外,正如此前分析所讨论的那样,这些恶意软件还可以获取重复使用的电子邮件地址和其他类似可追溯的文件内容。”
Felismus 是一个可远程访问的特洛伊木马程序,设计的非常复杂,呈模块化结构,允许后门木马扩展其功能。
赛门铁克公司补充表示:
“我们在今年三月首次发现了一个名为Felismus的全新恶意软件在东南亚对目标进行了攻击,这是我们看到与‘潮虫’组织相关的间谍活动的第一个证据。随后,我们确认了太平洋两岸的更多受害者。尽管 Felismus 恶意软件攻击在今年三月份就已经被发现了,但是直到最近才知道该工具和‘潮虫’组织有关联。塞门铁壳还能够将一些早期的攻击活动和‘潮虫’组织联系起来,证明他们至少从两年前、甚至更早的时候就开始运行了。”
Felismus 恶意软件后门运行攻击者完全控制受感染的系统,研究人员已经将此前多笔攻击活动和“潮虫”黑客组织关联了起来,他们的结论是,至少从2015年开始,该组织就已经非常活跃了。
赛门铁克公司在报告中提到:
“到目前为止,‘潮虫’组织的攻击对象似乎主要集中在南美洲和东南亚的政府实体,包括阿根廷、巴西、厄瓜多尔、秘鲁、文莱和马来西亚。该黑客组织资源充足,能够同时渗透多个目标,而且经常在政府机构工作时间之外运作。”
据恶意软件研究人员透露,“潮虫”组织使用虚假的 Windows 或 Adobe Reader 软件更新来侵入目标系统。在该黑客组织中,还有一个名为 Starloader 的工具,可用于在目标系统上部署更多恶意软件和工具,比如凭证转储器和键盘记录器。
这个 Starloader 工具会被包装成一些软件更新程序,比如 AdobeUpdate.exe,AcrobatUpdate.exe,或是 INTELUPDATE.EXE,等等。
赛门铁克表示:
“黑客提供的工具文件名和正版软件使用的文件名十分相似,并且将其放置在可能被误认为合法软件使用的目录树中。这使得攻击者很好地隐藏起来,因为即便这些恶意软件在进程列表中出现,也不太可能会引起人们的怀疑。”
不仅如此,“潮虫”黑客组织通常会在标准办公时间之外进行攻击操作。在一个案例中,他们在目前网络上潜伏了长达六个月时间(从去年九月到今年三月)都没有被发现。
VIA securityaffairs