更多全球網絡安全資訊盡在E安全官網www.easyaq.com
據推測,Iron 網絡犯罪組織過去18個月一直處於活躍狀態。該組織在此次的後門中使用了意大利間諜軟件廠商 Hacking Team被洩露的 RCS 源代碼。
大部分受害者位於亞洲
Intezer 指出,在過去一年半中:
Iron 組織已開發了針對 Windows、Linux 和 Android 平臺的各種惡意軟件,包括後門、加密貨幣挖礦軟件和勒索軟件,且使用這些惡意軟件成功感染了幾千個受害者,且大部分位於亞洲。
此外,該黑客組織似乎專注於入侵個人加密貨幣錢包,以竊取門羅幣。
Hacking Team 聲稱僅向政府和執法機構出售“合法攔截”產品。2015年 Hacking Team 曾遭遇數據洩露事件,其中包括強大的黑客工具,這為網絡犯罪分子改進其網絡攻擊工具提供了強大的能力。
Intezer 經過進一步分析後認為,實際的漏洞利用方式已被公開,這表明 Iron 並非直接從 Hacking Team 處購買的產品,而是從網上獲取得來。
為何懷疑 Iron 是中國黑客組織?
Intezer 懷疑 Iron 是中國黑客組織,其原因如下:
插件中有幾個中文註釋;
CA 證書的根密碼(caonima123)。
Intezer 研究主管阿里·埃坦向美國媒體表示,該組織可能是中國先進的犯罪組織。他認為網絡犯罪組織使用 Hacking Team 老舊代碼的情況並不多見,而Iron組織對這些老舊代碼的使用並不是複製粘貼那麼簡單的操作。研究人員發現 Iron 在利用最近編寫的工具開展大規模行動。
惡意軟件躲避反病毒產品檢測
基於他們的發現,Intezer 公司還懷疑大部分受害者位於中國:
該組織在受害者的工作站上以中文搜索錢包的文件名稱。
如若發現360反病毒產品,便不會部署持久機制。
Intezer 指出,上述後門、加密貨幣挖礦軟件和勒索軟件變種均經過配置躲避360反病毒引擎的檢測。當 Iron 後門檢測到360時,便不會將最終的 Payload 安裝在目標電腦上。
閱讀更多 E安全 的文章
