网络安全公司ATLAS(Arbor Networks, Inc.)在本周二(5月2日)发表的一篇博文中称,他们的研究人员在最近发现了指向恶意命令和控制(C&C)服务器的Lojack代理。而从C&C服务器的域名来看,它们与俄罗斯黑客组织“奇幻熊”在过去的攻击活动中所使用的域名联系在了一起。
奇幻熊,英文名“Fancy Bear”,也被称为Sofacy Group、Sednit、Pawn Storm或APT28。这是一个被怀疑得到俄罗斯国家政府支持的网络黑客组织,其主要攻击目标通常是各国政府和国际组织,是高级持续性威胁(Advanced Persistent Threat,APT)攻击的典型代表。
自从以来,该组织一直保持活跃,在全球范围内开展网络间谍活动。根据相关报道显示,该组织曾入侵过北约、奥巴马白宫、法国电视台、世界反兴奋剂机构和无数非政府组织以及欧洲、中亚和高加索地区的军事和民间机构,而美国网络安全界早已将其列入到严密监控的列表之中。
Lojack官方名称为“Computrace”,是由Absolute Software公司开发的一款合法的防偷窃系统软件。它可以被安装在笔记本电脑、平板电脑或者智能手机上,允许用户追踪并定位自己的设备。这意味着即使设备丢失或者被盗,只要设备重新联网,Lojack都能够锁定设备所在的位置,并将信息发送到用户预先设定的电子邮箱。
ATLAS公司的研究人员发现,Lojack软件的二进制文件被进行了修改,使得LoJack 代理指向了恶意C&C服务器,而不会将报告发送给 LoJack 中心服务器。研究人员确定了五个Lojack代理,分别指向四个不同的可疑域。进一步的分析表明,其中有三个与奇幻熊组织存在关联。
Lojack的创始人Absolute Software曾在其网站上表示,该代理除了可以远程定位和锁定设备之外,还可以用于恢复或擦除文件。另外,有安全专家在举行的黑帽技术(Blackhat)大会上曾指出,LoJack 软件可以被滥用作为具备持久性的模块化后门,即使是更换硬盘或者使用镜像文件重新恢复系统也能够被保留下来。
不仅如此,它还能够让攻击者在目标系统以最高的可能权限执行任意代码。这种功能将允许攻击者在受感染设备上下载其他额外的恶意软件、检索并窃取敏感数据、将被盗数据发送给远程服务器、清理任何入侵证据日志以及擦除文件,甚至是导致设备损坏。
由于奇幻熊组织只是对Lojack软件的二进制文件进行了极小的修改(仅涉及某个配置文件),因此导致许多反病毒引擎只是将其标记为“风险软件(Riskware)”或者“不安全(unsafe)”, 甚至无法检测出它的恶意性质。在ATLAS 的文章发表后,从本周四(5月3日)开始,许多反病毒供应商已经迅速作出响应,将样本正确标记为“恶意软件(malware)” 和“双重间谍(DoubleAgent)”。
研究人员表示,利用合法软件来开展恶意活动是一种很常见的策略,这会导致大多数反病毒引擎都不会直接将其检测为恶意软件。尽管目前尚不清楚奇幻熊组织是如何来传播Lojack软件的受感染版本的,但从其之前所开展的活动来看,很有可能是通过网络钓鱼电子邮件。
正如前面提到的那样,受感染的Lojack软件版本会为攻击者提供一个能够进入系统的持久性后门,并允许攻击者执行各种恶意操作。因此,如果你恰好就是Lojack软件的用户,请保持使用反病毒软件的习惯,并警惕那些未知来源的电子邮件。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
