本文讲的是 支持多平台高级逃避技术的外星人间谍软件AlienSpy RAT,黑客们协同开发了外星人间谍(AlienSpy RAT)软件,这是一种远程连接工具,旨在一系列关键基础设施上植入并传播城堡(Citadel)银行木马。
根据国防集团通用动力(General Dynamics)的下属安全公司Fidelis报道,外星人间谍是基于Adwind、Unrecom和Frutas这些Java架构的远程控制木马开发的。Fidelis公司在本月8日发布的报告中表示,该恶意软件通过伪造消息进行传播,目前已经在科技企业、金融服务企业、政府机构、能源设施中发现了该软件。
Fidelis公司在报告中表示,他们相信该软件通过统一软件开发维护过程得以快速迭代,其功能集合正飞速扩展,包括对安卓的多平台支持,另外,它的行为还显示出其它RAT软件并没有的逃避技术。
外星人间谍同时支持Windows、Linux、Mac OS X和安卓平台。它表现出了RAT软件的传统行为,比如收集系统数据、建立后门以上传恶意程序(包括键盘记录器)、提取泄露数据,另外,它还能控制摄像头、监听设备麦克风、提供远程桌面控制、窃取浏览器中的信用卡信息、访问文件。总的来看,一共有12个外星人间谍插件分别提供了这些能力。
当今的版本还包括检测自身是否运行在VMware或者甲骨文Virtual Box之类的虚拟机中的功能。其余的自保功能还有关闭杀毒软件以及其它安全工具、使用TLS和幕后服务器进行加密通信。
使用传输加密是为了对软件和幕后服务器的通信进行伪装,这样的技术使得网络防御者很难在公司网络中找到恶意流量。
Fidelis公司破解了外星人间谍的一个配置文件,其中包含该软件可以欺骗的一大串商业以及开源安全软件,其中包括抓包工具Wireshark。
Fidelis公司抓到的一个样本会投放城堡银行恶意软件,它在过去被用于关键行业的入侵上。它会伪装成历史订单、汇款到账通知、支付信息,让受害者上钩,执行恶意软件。该恶意软件还会被整合在外星人间谍构造中的Java混淆器Allatori所混淆。
这个样本还曝光了幕后服务器的DNS信息(owoego[.]chickenkiller[.]com),它使用9999端口进行后门通信、虚拟机检测,以及收集Java包所在文件夹、名称、后缀、注册表项的信息。
Fidelis公司建议各公司在看到.jar后缀的文件时不要让员工打开,而是先进行检查。让公司的关键人员打开可执行的附件,可能存在安全风险。
原文发布时间为:四月 10, 2015
本文作者:Venvoo
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/7274.html
