产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
在过去的几年中,一个神秘的组织几乎每天都在制作木马黑客工具,这些工具旨在感染其他黑客并获得其计算机的访问权限。
根据网络安全公司cybereason 近日发布的报告,木马工具感染了njrat恶意软件,该恶意软件使该神秘组织能够完全访问其他黑客的计算机。
cybereason安全策略副总裁amit serper对zdnet表示: “似乎某个人或一群人正在为访问更多计算机提供相当巧妙的捷径。”
serper说:“此组织采取的不是主动入侵机器,而是对工具进行木马化,免费传播它们,然后对使用工具的人进行黑客攻击。”这是网络犯罪现场的一种古老策略,即黑客窃取其竞争对手的数据。
数以千计的木马黑客工具,可以追溯到几年前
serper说,cybereason nocturnus调查小组在调查该小组的活动时追踪了1000多个njrat样本,但是该活动看上去比他们发现的规模更大,范围更广。
木马样本可以追溯到数年前,serper说新的迭代几乎每天都在发布。
根据cybereason的说法,后门工具正在黑客论坛和专门共享免费黑客工具的博客上在线共享。一些木马化的应用程序是彻头彻尾的黑客工具,而另一些是破解程序,允许想要使用商业黑客工具的黑客无需支付许可证。
cybereason发现被木马化的黑客工具包括站点抓取工具,漏洞扫描程序,google dork生成器,用于执行自动sql注入的工具,用于发起暴力攻击的工具以及用于验证泄漏凭证有效性的工具。
此外,cybereason还说它发现了chrome浏览器的木马版本,也带有相同的njrat远程访问木马。
根据serper的说法,cybereason团队分析的许多木马应用程序都配置为回call到两个域之一。在这两个域名中,使用最多的是capeturk.com域名,serper说该域名是使用越南人的凭证注册的。
尽管黑客通常会伪造有关域所有者的详细信息,尤其是在恶意软件活动中使用某个域时,serper还指出,在此次攻击中许多木马化的黑客工具都是从越南ip地址上传到virustotal恶意软件扫描引擎上的。
根据serper的说法,黑客小组似乎已经在virustotal上测试了其恶意软件样本的检测率,然后才将其部署到黑客论坛,博客或其他地方。
然而,cybeeason说,结合域名的详细信息,使用越南语ip进行virustotal上载是一个强有力的标志,表明该团伙很有可能位于该国。
古老的战术
总而言之,该小组的策略本身并不新鲜。其他黑客曾考虑通过将后门置于其免费发布的黑客工具中来走捷径。
例如,2016年的proofpoint报告发现,大量的后门钓鱼工具包通过youtube视频进行广告宣传,这些钓鱼工具包将钓鱼数据的副本发送回了原始作者。
该策略非常普遍,是一种无需进行大量黑客攻击即可获取被黑客入侵数据的简单方法。这个想法是让其他黑客下载黑客工具,花数周时间收集数据,然后使用后门(在本例中为njrat远程访问木马)窃取数据。
试用申请
