据外媒报道,维基解密( Wikileaks )近期最新曝光一批 Vault7 文档,旨在揭露美国中央情报局( CIA )任命雷神黑鸟( Raytheon Blackbird )科技公司为远程开发部门( RDB )提供情报,即分析黑客所使用的高级恶意软件与 TTP 通信协议等机密信息。
维基解密泄露文件显示,在 2014 年 11 月至 2015 年 9 月期间,雷声黑鸟科技公司向 CIA 共计提交至少 5 份报告,作为 CIA UMBRAGE Component Library( UCL )项目的其中一部分。UMBRAGE 项目主要包含恶意软件功能模块(例如:键盘记录仪、密码收集器、销毁数据仪、控制权限,以及反杀毒软件等),其目的是为隐藏攻击手段,规避安全软件检测。
2017 年 7 月 19 日,维基解密在线公布雷神黑鸟科技公司为 CIA UCL 项目提供的情报文件,其文件多数包含恶意软件攻击载体的概念验证 PoC 与评估,部分成果基于安全研究人员与计算机安全领域的私营企业公开发布的文档。据悉,雷神黑鸟科技公司作为 CIA 远程开发部门的 “ 技术侦察员 ” 分析黑客使用的恶意软件并提出进一步调查与 PoC 开发建议,用于研发更为高级的恶意软件项目。以下是雷神黑鸟科技公司提供的报告信息。
雷神黑鸟科技公司研究人员详细介绍了一款由 APT 组织 Emissary Panda 使用的 HTTPBrowser 远程访问工具新变种。据悉,这一新变种于 2015 年 3 月建立,并通过未知初始攻击载体进行部署。
报告详细介绍了 NfLog 远程访问工具新变种,也被称为 “ IsSpace ”,由 APT 组织 SAMURAI PANDA 用于网络间谍活动。此外,报告不仅指出 IsSpace 利用 Hacking Team 开发的 Adobe Flash 漏洞( CVE-2015-5122 )开展攻击活动,还表明该变体通过 Google App Engine (GAE)托管并与 C2 服务器进行代理通信。
这份报告是对 2014 年首次发现的间谍工具 Regin 进行高级分析。据称,Regin 网络间谍工具由美国国家安全局情报机构开发,是一款极其复杂的恶意软件样本。迹象表明,该恶意软件早在 2008 年就已开始使用,但多数人认为,当前的 Regin 迭代可追溯到 2013 年。Regin 似乎专注于目标监视与数据收集。其模块化体系结构提供了高度灵活性的攻击能力。而隐蔽性则是 Regin 另一个令人印象深刻的特性,能够规避检测。
这份报告详细描述了 2015 年初发现的恶意软件 HammerToss。研究人员表示,这是俄罗斯黑客开发的恶意代码,自 2014 年底以来一直运行。HammerToss 还是一款极其有趣的恶意软件,因为它的架构可以利用 Twitter 账户、GitHub 账户、受攻击的网站与云存储攻击指挥与控制(C2)服务器。
这个文档详细描述了自编码的注入与 API 连接方法,以致窃取敏感信息。2015 年 8 月,Virus Bulletin 发布三页报告,其中包含 Gamker 木马技术详细信息。
原作者:Pierluigi Paganini,译者:青楚
from hackernews.cc.thanks for it.