远程访问木马 adwind 卷土重来,威胁多国航空航天工控系统
2017-07-13 13:07:41
据外媒 7 月 11 日报道,趋势科技( )安全专家发现远程访问木马 adwind 卷土重来,威胁瑞士、奥地利、乌克兰、美国等国航空航天工控系统。
adwind 是一款采用 java 编写的跨平台远程访问木马,曝光于 2012 年初,能够使受感染的 windows、mac、linux 与 android 等主流操作系统设备沦为肉鸡,用于 ddos、暴力攻击在内的非法活动。
研究人员于 2017 年 6 月观察到 adwind 感染数量持续上升,较上月增长 107%。此次攻击目标主要为航空航天企业,瑞士、乌克兰、奥地利与美国堪称重灾区。
调查显示,adwind 可实现包括登录凭据、键盘记录与截屏窃取以及数据采集、渗透在内的多种功能。此次攻击活动分为两个阶段:
第一阶段( 6 月 7 日),攻击者通过链接使受害者跳转至采用 .net 编写、具有监控功能的间谍软件;
第二阶段( 6 月 14 日),黑客使用不同域名托管恶意软件与 c&c 服务器。
两起攻击均冒充地中海游艇经纪人协会(myba)宪章委员会主席发送垃圾邮件。一旦用户设备遭受感染,恶意代码将收集受害者相关信息,包括已安装的防病毒与防火墙应用程序列表。
考虑到 adwind 主要攻击向量源自垃圾邮件,用户必须仔细验证邮件来源,谨慎检查包含文档或链接的陌生邮件,及时更新系统与防病毒产品版本。
官方微信