全球网络安全公司ESET发布了一个臭名昭著的黑客组织Turla使用的新型高级后门的发现。ESET研究人员被称为加泽尔(Gazer),首先记录了这个新发现的后门程序,该后门程序自2016年以来一直针对欧洲机构进行积极部署。典型的图拉特征
Turla间谍组织针对欧洲各国政府和世界各地的使馆已有多年,众所周知,它会进行水坑和鱼叉式网络钓鱼活动,以磨练受害者。
ESET研究人员已经看到新记录的后门Gazer被部署在世界各地的多台计算机上,但大部分部署在欧洲。
ESET高级恶意软件研究员Jean-IanBoutin说:“我们在这里看到的战术,技术和程序与我们在Turla运营中通常看到的是一致的。”“第一阶段的后门,例如船长,很可能是通过鱼鳞涂装来交付的,然后出现在第二阶段的后门的受损系统中。在这种情况下,是盖泽。”
检测无法检测
与Turla使用的其他第二阶段后门工具(包括Carbon和Kazuar)非常相似,Gazer从命令和控制服务器接收加密的任务,该命令可以在已受感染的计算机上执行,也可以在网络上的另一台计算机上执行。
Gazer的作者还使用自己的自定义加密技术,使用自己的3DES或RSA库。嵌入在资源中的RSA密钥包含攻击者公用服务器的密钥控制器和私有密钥。
这些密钥对于每个样本都是唯一的,用于加密和解密发送到命令/控制服务器的数据/从命令和控制服务器接收的数据。此外,还发现臭名昭著的Turla小组使用Windows注册表中的虚拟文件系统来逃避防病毒防御并继续攻击该系统。
Boutin继续说道:“Turla竭尽全力避免在系统上被检测到。”“该小组首先清除了受感染系统的文件,然后使用后门版本更改了字符串并随机选取了字幕。在这种最新情况下,Gazer的作者更改了简单的字幕,并从视频游戏中插入了行,例如“只允许单个玩家”。
对于ESET的专家团队来说,发现这个新的,没有文献记载的后门标志着朝着正确的方向迈出了一步,以解决当今数字世界中日益严重的网络间谍问题。”
免责声明:本文由用户上传,如有侵权请联系删除!
