Strider Cyber攻击小组部署Sevionage的恶意软件
SRTIDER是一个以前未知的网络攻击者,是使用秘密软件的网络间谍活动,安全公司赛门铁克已透露。
Strider正在使用一个名为backdoor.remsec的先进的恶意软件来窥探俄罗斯,中国,瑞典和比利时的目标。
根据赛门铁克研究人员的说法,Remsec似乎专为间谍而设计,在代码中与Sauron中的参考文献,在戒指之王的全部观看敌人。
Symantec表示,Strider能够创建自定义恶意软件工具,并在雷达下方运行至少五年。
根据恶意软件的间谍功能和其已知目标的性质,该组可能是一个国家攻击者。
其他赛门铁克调查结果显示出与先前未被发现的群体的可能链接,因为使用了类似的技术。
调查显示,Strider的目标之一之前也被Regin Spyware感染,以其用于系统间谍活动而闻名。
虽然自2011年10月以来,人们被认为已经积极活跃,但本集团于现在保持低调。它的目标主要是一个国家和唯一的组织,这是一个兴趣的国家州的情报服务。
Symantec从公司的行为引擎检测后,从提交其追踪后,获得了本集团的Remsec恶意软件的示例。
根据研究人员,Remsec通常建立一种使攻击者能够绕过安全机制的方法,将后门创建到计算机系统中,因此登录凭据和数据可以被盗。
Strider在其选择目标方面非常有选择。迄今为止,Symantec发现了七个独立组织的36台计算机中感染的证据。本集团的目标包括俄罗斯的许多组织和辛勤金,中国的一家航空公司,瑞典的一个组织以及比利时的一个大使馆。
研究人员表示,Remsec Malware由作为一个框架一起工作的模块组成,该框架提供完全控制受感染的计算机,允许攻击者跨网络移动,exfiltrate数据和部署自定义模块。
Remsec使用模块的几个例子,编写了Lua编程语言。研究人员表示,Remsec使用Lua解释器来运行执行各种功能的Lua模块。
模块包括加载器(从磁盘打开文件并执行它们),伪装为安全支持提供程序,解密和加载其他LUA模块的主机加载器,键盘记录击键和exfiltrate此数据,用于打开网络的网络侦听器基于对特定类型的流量监视的连接,以及包含用于命令和控制服务器的多个地址的HTTP后门。
Remsec包含许多功能以帮助其避免检测。若干组件是可执行二进制大物体(BLOB)的形式,这对于传统的防病毒软件来说更难以检测。
此外,在网络上部署了大部分恶意软件功能,因此它仅在计算机的内存中驻留,并从未存储在磁盘上,这使得更难检测。
赛门铁克表示,其研究人员将继续寻找更多的Remsec模块和目标,以建立他们对Strider的理解。与此同时,他们已经编译了一个妥协的一个关于妥协的资料,详细信息,以帮助组织在自己的IT环境中识别与Strider相关的威胁。