本帖最后由 而我到底是谁 于 2017-8-18 11:54 编辑
一个俄语 ATP 组织 Turla被发现使用了巧妙的方法隐藏痕迹。Turla 主要针对政府机构、大使馆、军队、研究机构、教育机构和制药公司等,窃取敏感信息,其同名恶意程序能感染 Windows 和 Linux,它的 Linux 模块大量使用了开源的静态链接库,曾被发现劫持卫星链路与指令控制中心通信。
斯洛伐克安全公司ESET的安全研究人员一直在调查Turla,这是一个长期存在的黑客组织,据说与俄罗斯政府有关。 安全研究人员们发现了一些不寻常的东西,他们在一篇博客文章中写道,恶意软件一直通过小甜甜的Instagram照片上看似无关痛痒的评论来接受指令。 在现在已经删除的评论中,用户“asmith215”写到:“#2hot make loved to her,uupss#Hot #X。”这只是毫无意义的垃圾信息,对吧?不,这条信息里隐藏着一串字符即2kdhuUX,这是bit.ly.link的一部分。 这个链接将连接到它的命令与控制(C&C)服务器,后者将给出如何处理和检索被盗数据的指令。 这是ESET在今年2月进行的一项测试,它之所以认为这是一项测试是因为链接被点击的次数很少。这一发现引发了一些令人不安的问题。互联网上还隐藏着哪些黑暗信息?否则黑客们如何将自己伪装成普通的样子?
根据安全公司 Eset 研究人员的最新报告,Turla 发布了一个含有后门的 Firefox 扩展,使用一个 bit.ly 缩址访问指令控制中心获取指令,但扩展代码中没有发现网址路径,它是通过小甜甜布兰妮官方 Instagram 账号上的一个留言获得指令控制的路径。扩展会检查小甜甜每一张照片下的留言,计算一个定制的哈希值,如果哈希值匹配,它会运行正则表达式得到 bit.ly 缩址。
来源: http://www.sohu.com/a/147556916_783645 http://www.cnbeta.com/articles/tech/620135.htm
|