据卡巴斯基实验室周四报道,被称为“ Turla ”的俄罗斯网络间谍组织正在使用一种新的 JavaScript 恶意软件针对欧洲外交部机构。
Turla 是一个俄罗斯网络间谍 ATP 组织(也称为 Waterbug 、Venomous Bear、KRYPTON )自 2007 年以来一直处于活跃状态,主要针对欧洲的外交部等政府组织和军工企业。典型受害者如瑞士科技与军备制造企业 RUAG 公司、美国中央司令部。
去年 11 月,卡巴斯基实验室和微软发现了一种新的恶意软件“ KopiLuwak ”,据博客中介绍它使用多个 JavaScript 层来逃避检测。恶意代码通过在目标机器上创建注册表项以获得持久性。一旦感染了目标系统,恶意代码可执行一系列命令并收集信息,被窃取的数据将被加密并存储在一个临时文件中。恶意软件的 C&C 服务器 IP 地址以硬编码的形式存储在恶意代码中,并允许操作者通过 Wscript.shell.run() 执行任意命令。恶意软件仍利用 Office 文档的宏功能、借助钓鱼邮件传播。
目前已发现了一个受害者:攻击者伪装成卡塔尔驻塞浦路斯大使馆向塞浦路斯政府外交机构发送 “ 国庆招待会( Dina Mersine Bosio 大使的秘书).doc ”公函文件。卡巴斯基的研究人员认为恶意软件“ KopiLuwak ”将在未来更多地被使用。
从内容上推断,它可能是卡塔尔大使的秘书发送给塞浦路斯外交事务机构的。这意味着攻击者至少控制了一个卡塔尔外交部网络系统,从而发送钓鱼邮件。
from hackernews.cc.thanks for it.