研究揭示 dragonfly 恶意软件与 blackenergy 和 teamspy 等攻击活动联系紧密
2017-12-21 10:24:07
hackernews.cc 19 日消息,mcafee labs 通过收集的证据表明 dragonfly 恶意软件与 blackenergy 和 teamspy 等其他黑客攻击活动有莫大联系,这些攻击活动在技术、战术和程序方面都非常相似。
赛门铁克今年 9 月发布了关于 “dragonfly 2.0 行动” ——针对数十家能源公司进行黑客攻击的详细分析报告,在对制药、金融和会计行业遭遇过网络攻击案例进一步调查分析后,研究团队发现这些攻击活动在技术、战术和程序方面都存在相似之处(如使用鱼叉式网络钓鱼、特定漏洞攻击和供应链污染等),他们怀疑 “dragonfly 2.0 行动”与 2014 年观察到的 dragonfly 攻击行动背后是同一个黑客组织。
dragonfly 与 teamspy 之间的关联
研究人员通过对恶意软件的关联分析,发现前两款恶意软件都使用了 teamspy 恶意软件中相同的 teamviewer(由匈牙利安全公司 crysys 分析提出)。
teamspy 黑客组织攻击过许多高级机构,包括俄罗斯驻华大使馆、 法国和比利时的多个研究和教育机构、一家位于伊朗的电子公司和位于俄罗斯的工业制造商等。
尽管此前的分析报告倾向于将黑客攻击归因于一个或多个黑客组织、认为他们彼此分享了攻击战术和工具,但研究人员同时表示, 黑客组织 teamspy 背后的动机与 dragonfly 类似。
dragonfly 与 blackenergy 之间的关联
如上图,研究人员发现今年捕获的 dragonfly 恶意软件样本中包含与 2016 年 blackenergy 恶意软件相关的代码块。
虽然这种自我删除的代码块在恶意软件中非常常见,但通常是通过创建批处理文件并执行批处理而不是直接调用 delete 命令来实现。 而在通过对比 2015 年 10 月 31 日在乌克兰被捕获的 blackenergy 样本代码与 dragonfly 样本后,研究人员发现他们之间的代码几乎都是相同的,因此揭示了 blackenergy 和 dragonfly 之间的相关性。
更多细节内容可阅读:
mcafee 报告:《》
消息来源: ,编译:榆榆,校审:fox
本文由 翻译整理,封面来源于网络。【转自】
本站系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、凯发娱乐的版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容![声明]本站文章凯发娱乐的版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权
官方微信