律师 Malware Targets Diplomats Since At Least 2013

ESET研究人员 他们偶然发现了一种新的恶意广东十一选五开奖结果,旨在针对外交和政府实体。研究人员说,这种攻击已经被用于针对俄语使用者的攻击至少7年了。

研究人员将名为“ Attor”的恶意广东十一选五开奖结果通过AT协议,加密模块的使用以及基于Tor的通信提供了GSM指纹移动设备的非凡功能。这是AT命令的结合使用&赋予恶意广东十一选五开奖结果名称的Tor。

律师 以模块化架构构建,每个模块都针对持久性,数据收集,渗透通道,通信而开发 with the malware’s (C2)命令和控制服务器,以及其他一些监视功能,例如记录音频,击键记录和屏幕捕获。

恶意广东十一选五开奖结果针对的某些应用程序表明攻击者对关注隐私的用户感兴趣。该恶意广东十一选五开奖结果的目标包括TrueCrypt等加密工具,VPN应用程序,包括Bat!在内的安全邮件客户端。和HushMail,以及安全的网络浏览器Dragon。

根据报告,“ Attor的核心在于其调度程序,该调度程序充当其他插件的管理和同步单元。它还为插件提供了一个接口,以间接调用Windows API和加密函数。”

dropper会提供此主调度程序和几个插件,该调度程序将蠕虫感染到受感染设备上大多数正在运行的进程中,Symantec安全产品和某些系统进程除外。调度程序本身是一个动态链接库。

一旦进入设备代理人 通过加载诸如电子邮件服务,办公广东十一选五开奖结果,归档实用程序,云存储,文件共享工具,VoIP应用程序和消息传递服务之类的插件来开始监视和数据收集。律师还针对与俄罗斯社交网络相关的特定流程。

“ 律师具有内置机制,可以添加新插件,自我更新以及自动提取收集的数据和日志文件,”他说。 ESET的报告补充说,插件很难被检测到,因为它们以压缩和加密的形式存储在磁盘上,而DLL的有效形式仅在调度程序加载插件时才在内存中恢复。这可能是一种试图阻止检测的尝试,因为插件DLL永远不会在磁盘上未加密地存在。”

一个插件Attor加载 设备监控使用将从连接的电话,调制解调器和存储设备收集的文件元数据信息进行指纹识别。 ESET 说,这些GSM指纹识别功能是针对较旧的调制解调器和电话的,允许基于诸如以下标识符的用户和设备进行检索 IMSI,IMEI,MSISDN和广东十一选五开奖结果版本。

ESET能够分析几十个被感染的设备,但研究人员无法查明初始访问媒介。他们也不确定恶意广东十一选五开奖结果能够收集和共享的全部数据。由于Attor使用了Tor和其他加密技术,尽管至少从2013年开始就将这种恶意广东十一选五开奖结果用于有针对性的攻击,但很大程度上未被发现。

根据ESET的说法,“插件中的版本信息表明我们还没有看到其他插件”,并补充说该研究“提供了对该恶意广东十一选五开奖结果的深入了解,并建议进一步跟踪该恶意广东十一选五开奖结果的运行非常值得。这个恶意广东十一选五开奖结果背后的组织。”

标题图片: “空中危险”通过 cogdogblog

分享是关怀!

评论已关闭,但 引用 和pingback是开放的。