记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

恶意软件即服务:Adwind已攻击全球44万用户及组织

2016-02-13 03:00

Adwind 是一种跨平台、多功能的恶意软件程序,它还附带有 AlienSpy 、Frutas 、 Unrecom 、 Sockrat 、 JSocket 、 jRat ,所有这些恶意软件都是通过同一个恶意软件即服务平台进行传播的。

调查结果显示,2013年至2016年之间,Adwind 恶意软件的多个版本被用于攻击至少全球44万余个目标,包括个人用户、盈利及非盈利性组织。目前,该平台及相关恶意软件仍在活跃中。

恶意软件即服务(Malware-as-a-Service)

2015年末,卡巴斯基实验室的研究人员注意到一种特别的恶意软件程序。他们是在该程序对新加坡某家银行发动攻击时发现它的。钓鱼邮件中附带了一种恶意的 JAR 文件,攻击者将其发送给了该银行的员工。这种恶意软件功能很多,包括多平台攻击、回避反病毒软件等,这立即引起了研究人员的注意。

结果显示,这些机构受到了 Adwind 远程控制工具的攻击,它是一种公开出售的后门程序,全部由 Java 写成,这也给它带来了跨平台的能力。它可以控制 Windows 、 OS X 、 Linux 、 安卓平台,打开远程控制功能,收集并窃取数据。

如果目标用户打开了 JAR 附件,恶意软件将自动安装并试图与幕后控制服务器进行通讯。其拥有以下功能:

  • 键盘记录
  • 密码记录,从在线论坛上获取数据
  • 屏幕截图
  • 拍照片,通过摄像头录像
  • 通过麦克风录音
  • 传输文件
  • 获得系统和用户信息
  • 窃取加密货币钱包密钥
  • 管理安卓平台短信
  • 窃取 VPN 证书

不仅只有想碰运气的黑客在大规模诈骗活动中使用 Adwind ,它还被用来进行针对性攻击。

2015年8月,有新闻报道称 Adwind 与针对阿根廷某检察官的某次网络间谍行动有关,涉事检察官则早在2015年1月自杀身亡。针对新加坡某银行的事件属于另一次针对性攻击。如果仔细考察与 Adwind 远程控制工具有关的安全事件,就会发现这些针对性攻击不是个案。

针对性攻击目标

卡巴斯基实验室的研究人员在调查期间设法分析了200份与 Adwind 恶意软件有关的钓鱼攻击,他们发现最容易遭到攻击的产业如下:

  • 制造业
  • 金融
  • 工程
  • 设计
  • 零售
  • 政府
  • 物流
  • 通讯
  • 软件
  • 教育
  • 食品
  • 医疗
  • 媒体
  • 能源

卡巴斯基安全网络(Kaspersky Security Network)给出的数据表明,在2015年8月到2016年1月这半年期间观察到的200次与 Adwind 远程控制工具有关的钓鱼攻击影响了全球超过68万名用户

640.webp (4)

上图是排名前10的Adwind恶意软件即服务平台的攻击目标分布情况,包括地理位置及所属行业。

卡巴斯基安全网络对受害者数据进行的地理归纳显示,近半数人生活在以下10个国家:阿联酋、德国、印度、美国、意大利、俄罗斯、越南、香港、土耳其、台湾。

640.webp (5)

Adwind恶意软件的发展简史

卡巴斯基研究人员通过研究受害者档案,发现 Adwind 平台的买家可以分为以下几类:想要使用更先进工具的骗子、恶意竞争者、黑客雇佣兵以及想要监控身边朋友的个人。

威胁即服务(Threat-as-a-Service)

Adwind 远程控制软件和其它商业性恶意软件有一个很大的不同:它是作为服务开放给购买者的,使用者仅对使用软件付费。卡巴斯基实验室的研究人员通过研究用户活动和内部聊天室估计,2015年底全世界大约有1800个 Adwind 的使用者。这使它成为了迄今为止最大的恶意软件平台。

卡巴斯基实验室首席安全专家亚历山德·古斯特夫(Aleksandr Gostev)表示:“Adwind 平台大大降低了网络犯罪的专业知识成本,这使得大量潜在的网络罪犯能够将其目标变成现实。根据目前对新加坡攻击的分析,我们认为此事件背后的黑客远非专业人士。此外,大多数 Adwind 平台的用户应当都属于这种计算机水平。这种趋势让人担忧。”

卡巴斯基实验室全球研究与分析团队负责人维塔利·卡姆洛克(Vitaly Kamluk)说:“尽管安全厂商近年来发布了很多关于此工具各个版本的报告,这一平台仍旧活跃,并助长了各式各样的犯罪行为。我们进行此项研究的目的是吸引信息安全圈子和执法机构的注意,以彻底捣毁该工具。”

卡巴斯基已将此次研究的成果上报给执法机构。

卡巴斯基实验室建议企业重新考量部署 Java 平台的必要性,并将其对所有非授权来源禁用。

 

知识来源: www.aqniu.com/threat-alert/13656.html

阅读:78361 | 评论:0 | 标签:威胁情报 Adwind 卡巴斯基 恶意软件

想收藏或者和大家分享这篇好文章→复制链接地址

“恶意软件即服务:Adwind已攻击全球44万用户及组织”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词