卡巴斯基實驗室全球研究和分析團隊(GReAT)發(fā)現多個來自一種之前未知的木馬的感染案例,這種木馬很可能與臭名昭彰的使用中文的威脅攻擊組織——LuckyMouse有關。這種惡意軟件最不同尋常的特點是其采用了精心挑選的驅動程序,使用合法的數字簽名進行簽名。其所用的數字簽名來自一家開發(fā)信息安全相關軟件的公司。
LuckyMouse威脅組織以針對全球大型組織的針對性攻擊而聞名。該威脅組織的活動對整個地區(qū)都構成威脅,包括東南亞和中亞,因為他們的攻擊似乎有政治目的。根據受害者特征和該威脅組織之前的攻擊媒介來判斷,卡巴斯基實驗室研究人員認為他們檢測到的這種木馬被用于國家支持的網絡間諜攻擊活動。
卡巴斯基實驗室專家發(fā)現的這種木馬通過威脅攻擊者制作的驅動程序感染目標計算機。這允許攻擊者執(zhí)行所有常用任務如執(zhí)行命令、下載和上傳文件以及攔截網絡流量。
這個驅動程序成為這次攻擊行動最有趣的部分。為了讓其看上去值得信賴,該威脅組織很顯然竊取了一個數字證書,其本來屬于一家開發(fā)信息安全相關軟件的公司,使用盜竊的證書來為惡意軟件進行簽名。這樣做的目的是試圖躲避安全解決方案的檢測,因為合法的數字證書讓惡意軟件看上去更像合法軟件。
該驅動程序另一個值得注意的特征是盡管LockyMouse有能力制作自己的惡意軟件,但在攻擊中使用的惡意軟件似乎是來自公共可獲取到的公共軟件庫中代碼樣本和自定義惡意軟件的組合。這種簡單地使用現成的第三方代碼,而非編寫自己的原始代碼的原因是節(jié)省開發(fā)人員時間,還可以讓確認惡意軟件歸屬變得更困難。
卡巴斯基實驗室安全研究員Denis Legezo說:“每次出現最新的LuckyMouse攻擊行動時,幾乎都會碰上高調的政治事件,攻擊的時機通常都會在全球領袖召開會議之前。威脅組織并不擔心安全研究人員發(fā)現其惡意軟件的歸屬——因為他們在使用的惡意軟件中部署了第三方代碼樣本,對他們來說,在釋放器中添加另一層并不費時間,或者為惡意軟件開發(fā)一個新的變種,確保其不易被追蹤”。
卡巴斯基實驗室之前曾經報告過LuckyMouse攻擊組織對國家數據中心實施攻擊,以實現國家級別的水坑式攻擊行動。
如何保護自己:
· 不要輕易相信運行在系統(tǒng)上的代碼。數字證書也不能保證所使用的代碼中不包含后門程序。
· 使用具備惡意行為檢測技術的安全解決方案,這種技術甚至能夠發(fā)現之前未知的威脅。
· 為您的企業(yè)或組織的安全團隊訂閱高品質的威脅情報報告服務,從而可以較了解復雜的威脅組織近期所使用的攻擊策略、技巧和步驟。