支持多平台高级逃避技术的外星人间谍软件

安全
黑客们协同开发了外星人间谍(AlienSpy RAT)软件,这是一种远程连接工具,旨在一系列关键基础设施上植入并传播城堡(Citadel)银行木马。

黑客们协同开发了外星人间谍(AlienSpy RAT)软件,这是一种远程连接工具,旨在一系列关键基础设施上植入并传播城堡(Citadel)银行木马。

[[131550]]

根据国防集团通用动力(General Dynamics)的下属安全公司Fidelis报道,外星人间谍是基于Adwind、Unrecom和Frutas这些Java架构的远程控制木马开发的。Fidelis公司在本月8日发布的报告中表示,该恶意软件通过伪造消息进行传播,目前已经在科技企业、金融服务企业、政府机构、能源设施中发现了该软件。

Fidelis公司在报告中表示,他们相信该软件通过统一软件开发维护过程得以快速迭代,其功能集合正飞速扩展,包括对安卓的多平台支持,另外,它的行为还显示出其它RAT软件并没有的逃避技术。

外星人间谍同时支持Windows、Linux、Mac OS X和安卓平台。它表现出了RAT软件的传统行为,比如收集系统数据、建立后门以上传恶意程序(包括键盘记录器)、提取泄露数据,另外,它还能控制摄像头、监听设备麦克风、提供远程桌面控制、窃取浏览器中的信用卡信息、访问文件。总的来看,一共有12个外星人间谍插件分别提供了这些能力。

当今的版本还包括检测自身是否运行在VMware或者甲骨文Virtual Box之类的虚拟机中的功能。其余的自保功能还有关闭杀毒软件以及其它安全工具、使用TLS和幕后服务器进行加密通信。

支持多平台高级逃避技术的外星人间谍软件

使用传输加密是为了对软件和幕后服务器的通信进行伪装,这样的技术使得网络防御者很难在公司网络中找到恶意流量。

Fidelis公司破解了外星人间谍的一个配置文件,其中包含该软件可以欺骗的一大串商业以及开源安全软件,其中包括抓包工具Wireshark。

Fidelis公司抓到的一个样本会投放城堡银行恶意软件,它在过去被用于关键行业的入侵上。它会伪装成历史订单、汇款到账通知、支付信息,让受害者上钩,执行恶意软件。该恶意软件还会被整合在外星人间谍构造中的Java混淆器Allatori所混淆。

这个样本还曝光了幕后服务器的DNS信息(owoego[.]chickenkiller[.]com),它使用9999端口进行后门通信、虚拟机检测,以及收集Java包所在文件夹、名称、后缀、注册表项的信息。

Fidelis公司建议各公司在看到.jar后缀的文件时不要让员工打开,而是先进行检查。让公司的关键人员打开可执行的附件,可能存在安全风险。

原文地址:http://www.aqniu.com/tools/7274.html

责任编辑:蓝雨泪 来源: 安全牛
相关推荐

2018-10-24 15:05:26

游戏本戴尔屏幕

2014-12-24 09:21:42

2015-10-29 10:05:23

2015-07-08 09:59:25

间谍平台DinoAPT黑客

2015-05-08 12:24:10

恶意软件逃避技术

2015-04-22 15:24:31

2024-12-05 11:42:30

2016-08-31 08:47:59

2012-03-07 13:37:35

台式机评测

2017-08-25 08:40:46

2012-07-26 09:56:21

IBM超算

2020-06-15 10:22:42

人工智能机器学习技术

2010-09-08 10:54:37

2012-07-02 11:31:16

2012-06-21 15:23:00

Alienware笔记本

2011-04-22 14:37:08

游戏PC

2012-11-22 11:00:40

外星人笔记本

2015-10-23 14:20:43

2021-01-03 15:24:33

人工智能外星人数据

2022-09-07 08:58:52

AI科技树机械
点赞
收藏

51CTO技术栈公众号