进一步分析显示,这种间谍软件使用的代码库与臭名昭著的COMPFun相同。
间谍软件侧重于在受害者的设备之间传播,攻击者。它被各种APT组织所广泛使用,其危害性取决于选定的受害者:如果受害者是政府或关键基础设施,收集到的信息可能会给恶意软件操作者带来巨大价值,并给受影响的领域带来许多变化。
检测到的恶意软件与2014年首次发现的COMPFun在代码上具有很强的相似性。2019年,业界就已经发现了其继任者Reductor。新木马的功能包括获取目标的地理位置、收集主机和网络相关数据、键盘记录和屏幕截图等功能。
根据卡巴斯基专家研究,这是一款成熟的木马,能够通过可移动存储设备传播自身。从共享局域网下载的第一阶段释放器保存着与签证申请流程相关的文件名,与被攻击的外交机构相对应。。合法的申请与32位和64位的下一阶段恶意软件一起被加密保存在释放器中。
根据受害者研究,卡巴斯基将原始的COMPfun恶意软件与Turla APT联系在一起,可信度为中等。
“该恶意软件的操作者仍然攻击重点放在外交机构上,并选择与签证相关的应用——存储在本地网络内共享的目录中,并将其作为最初的感染载体。针对目标的量身定制的攻击方法以及想出和执行想法的能力的结合,无疑使COMPFun背后的开发人员成为一支强大的进攻团队,”卡巴斯基首席安全研究院Kurt Baumgartner说。
为了保护组织和企业不受诸如COMPfun之类的威胁的危害,卡巴斯基建议采取以下措施:
- 对企业或组织的IT基础设施进行定期的安全审计。
- 使用经过验证的端点安全解决方案,例如具备文件威胁保护功能的卡巴斯基网络安全解决方案,一定要及时更新安全解决方案,以便能够检测最新类型的恶意软件。
- 为了获得端点级别的检测以及及时调查和事故修复,请部署EDR解决方案,例如卡巴斯基端点检测和响应。
- 除了采取基础的端点保护措施外,请部署能够在早期阶段在网络层面检测高级威胁的企业级安全解决方案,例如卡巴斯基反针对性攻击平台。
- 为您的SOC团队提供对最新威胁情报的访问,让他们了解威胁组织和网络罪犯使用的最新工具、技术和策略。
更多详情,请访问Securelist.
