关注网络安全
和行业未来

指环王人物“Strider”发起攻击 包扩中国在内的四国机构受到侵袭

这个组织对攻击目标有很高的选择性,它已经活动了五年,但已知的只有七个机构遭受过它的威胁。

赛门铁克发现了一个此前不为人知的网络间谍组织,该组织对攻击目标非常挑剔。该组织运营五年以来,已知的仅有七个机构和36个端点受到过它的威胁。这个被赛门铁克公司称为“Strider”的网络间谍组织使用一种特制的叫做Remsec的自定义恶意软件用来窃取Windows的用户信息。这种软件是用Lua语言编写的,它的模块化程度很高,并且隐藏得很深。

russia-china-europe-targeted-by-active-cyberespionage-group-strider-stealth-malware七个被攻击的机构中包括一些俄罗斯的机构、一家中国航空公司、一个位于比利时的大使馆和一个瑞典的机构。迪马乔(DiMaggio)说 ,即便对于一个十分老道的攻击者来说,攻击目标的数量也是极少的。

“这正是我们对此很感兴趣的原因,”赛门铁克公司的高级网络威胁情报分析师迪马乔(Jon DiMaggio)说,“……有人投入时间和金钱来制作这种自定义恶意软件但却只用它攻击了这么少的目标。”他还说,目标如此集中则意味着有人为此经受了很多困扰,还同时做了大量的侦测工作。

赛门铁克并未推测“Strider”的来历和Remsec的制造者,只在今天的博客中公布了这一发现:“这个攻击者很可能达到了国家级水平”。

但是,研究者们也承认,该组织发动的攻击与早先的网络间谍软件Flame有“某种关联”。Flame是一种非常先进的恶意软件,常用来攻击中东地区的目标,它被广泛认为来源于西方。Remsec和Flame使用的都是一种由不常见的Lua语言编写的模块。

迪马乔(DiMaggio)说,使用Lua语言是Remsec作者的一种“自我保护机制”。普通安全工具的常规逻辑和探测引擎不太可能发现这种并不常见的方式。迪马乔(DiMaggio)还说,基于相同的原因,Remsec 的一些组件以一种可执行大型二进制对象的形式出现,这种形式也同样Lord-of-the-rings是很少见的。迪马乔(DiMaggio)说:“如果由我来编写恶意软件,我也会这么做。”

Remsec的隐藏机制并不止于此。据赛门铁克公司博客说,“它的很多功能部署在网络上,这意味着它仅存在于计算机内存中,并不是存储在磁盘上。”

Remsec中的 Lua模块包括一个网络加载器、主机加载器、网络监听器、基础通道后门、一个可读取写入和删除文件的较高级的通道后门、一个包括命令控制服务器地址的HTTP后门,以及一个键盘记录器。

键盘记录器代码中包含有“Sauron”这个词,这可能是根据《指环王》中的人物以及他那著名的燃烧的“索伦之眼”命名的。赛门铁克延续了《指环王》主题的命名方式,把这个网络间谍组织命名为“Strider”,这也是《指环王》中阿拉贡的一个名字。

来源:DARKReading

 

评论 抢沙发