警告!黑客組織Iron瞄準中國門羅幣錢包發起攻擊
更多全球網路安全資訊盡在E安全官網www.easyaq.com
E安全5月31日訊 以色列網路安全公司 Intezer 2018年5月29日發博文稱,其在2018年4月監測公共數據流時發現一個先前未知的後門。該後門由 Iron 勒索軟體背後的網路犯罪組織開發,Interzer 將該組織稱為「Iron網路犯罪組織」(Iron Cybercrime Group),且懷疑該黑客組織來源於中國。
據推測,Iron 網路犯罪組織過去18個月一直處於活躍狀態。該組織在此次的後門中使用了義大利間諜軟體廠商 Hacking Team被泄露的 RCS 源代碼。
Intezer 指出,在過去一年半中:
Iron 組織已開發了針對 Windows、Linux 和 Android 平台的各種惡意軟體,包括後門、加密貨幣挖礦軟體和勒索軟體,且使用這些惡意軟體成功感染了幾千個受害者,且大部分位於亞洲。
此外,該黑客組織似乎專註於入侵個人加密貨幣錢包,以竊取門羅幣。
Hacking Team 聲稱僅向政府和執法機構出售「合法攔截」產品。2015年 Hacking Team 曾遭遇數據泄露事件,其中包括強大的黑客工具,這為網路犯罪分子改進其網路攻擊工具提供了強大的能力。
Intezer 經過進一步分析後認為,實際的漏洞利用方式已被公開,這表明 Iron 並非直接從 Hacking Team 處購買的產品,而是從網上獲取得來。
為何懷疑 Iron 是中國黑客組織?Intezer 懷疑 Iron 是中國黑客組織,其原因如下:
?插件中有幾個中文注釋;
?CA 證書的根密碼(caonima123)。
Intezer 研究主管阿里·埃坦向美國媒體表示,該組織可能是中國先進的犯罪組織。他認為網路犯罪組織使用 Hacking Team 老舊代碼的情況並不多見,而Iron組織對這些老舊代碼的使用並不是複製粘貼那麼簡單的操作。研究人員發現 Iron 在利用最近編寫的工具開展大規模行動。
惡意軟體躲避反病毒產品檢測基於他們的發現,Intezer 公司還懷疑大部分受害者位於中國:
?該組織在受害者的工作站上以中文搜索錢包的文件名稱。
?如若發現360反病毒產品,便不會部署持久機制。
Intezer 指出,上述後門、加密貨幣挖礦軟體和勒索軟體變種均經過配置躲避360反病毒引擎的檢測。當 Iron 後門檢測到360時,便不會將最終的 Payload 安裝在目標電腦上。
※美國能源部發布「五年計劃」保護網路安全
※2017殭屍網路「盛行」國家:中國第三
TAG:E安全 |