行业新闻与博客

APT 瞄准欧洲,拉丁美洲的外交官

据 ESET 的研究人员称,有证据表明新版本的恶意软件系列与难以捉摸的 Ke3chang 小组以及之前未报告的后门相关联。


根据今天的新闻稿,研究人员长期以来一直在追踪高级持续威胁(APT)组织,并怀疑它在中国境外运作。


该软件以 ESET 命名为 Okrum,于 2016 年底首次被发现,当时它被用于瞄准比利时,斯洛伐克,巴西,智利和危地马拉的外交使团和政府机构。然而,研究人员已经看到恶意软件家族的多种变化,并将活动归因于 Ke3chang 组。


“在可追溯到 2015 年的研究中,ESET 在欧洲国家发现了新的可疑活动。袭击事件背后的团体似乎对斯洛伐克特别感兴趣,但克罗地亚,捷克共和国和其他国家也受到影响。分析这些攻击中使用的恶意软件,ESET 研究人员发现它与 Ke3chang 集团的已知恶意软件家族有关,并称为这些新版本的 Ketrican,“该版本称。


“当我们发现 Okrum 后门被用来放弃 2017 年编制的 Ketrican 后门时,我们开始联接点。最重要的是,我们发现一些受 Okrum 恶意软件和 2015 年 Ketrican 后门影响的外交实体也是受到 2017 年 Ketrican 后门的影响,“ESET 研究员 Zuzana Hromcova 说道。 


该组织在 2019 年保持活跃。就在 3 月份,研究人员“发现了一种新的 Ketrican 样本,该样本是从 2018 年的 Ketrican 后门发展而来的。它影响了与 2018 年后门相同的目标,“ 研究表明。


“Okrum 可以使用对 ImpersonateLoggedOnUser API 的调用来模拟登录用户的安全上下文,以获得管理员权限。”然后,它会自动收集有关受感染计算机的信息,包括计算机名称,用户名,主机 IP 地址,主 DNS 后缀值,OS 版本,内部版本号,体系结构,用户代理字符串和区域设置信息(语言名称,国家 / 地区名称),添加的报告。

非常感谢您对亚洲注册的支持与信任!

禁止转载

需要帮助吗?联系我们的支持团队 在线客服