Turla:針對政府和外交官的間諜工具

時間 :20:00 取得文章短網址

文章分類 : News, Security

Symantec 發現一個涉及惡意軟體、被稱為 Wipbot 和 Turla 的網路間諜活動正有系統地針對一些前東歐集團國家的政府和大使館。

Trojan.Wipbot 是一種後門,在攻擊者轉到使用 Trojan.Turla 進行長期監測之前,用來方便偵察行動。這種經典間諜模式已經操作至少四年。因為所選擇的目標和惡意軟件的級數,Symantec 認為這些攻擊背後由國家資助的團體操控。

Turla 提供了強大的間諜功能。用戶一旦打開網頁瀏覽器,會直接開啟一個後門讓攻擊者可通過這個後門,從被感染的電腦上複製文件、連接到伺服器、刪除文件、上載並執行其他形式的惡意軟體等等。
20140808_ Symantec

感染的分析顯示,攻擊者高度集中於數個國家。例如,在 2012 年 5 月期間,前蘇聯成員國的總理辦公室受到感染。這種感染迅速向上蔓延至總理辦公室高達 60 台電腦。

Turla 的攻擊手法相當先進。其背後的集團利用魚叉式釣魚郵件和水坑攻擊感染的受害者。據稱,有些魚叉式釣魚郵件來自一個中東大使館軍官,並有附件偽裝成會議紀錄。打開附件會導致 Trojan.Wipbot 進入受害者的電腦。

Symantec提供以下方案檢測惡意軟件:
AV
Trojan.Turla
Trojan.Wipbot
IPS
System Infected: Trojan.Turla Activity
System Infected: Trojan.Turla Activity 2

你可能會對以下文章有興趣: