导语:趋势科技的安全专家指出,2012年专门针对台湾地区的网络间谍组织Blackgear最近转移了攻击目标,他们开始攻击日本的一些组织企业。
据趋势科技的安全专家指出,2012年专门针对台湾地区的网络间谍组织Blackgear最近转移了攻击目标,他们开始攻击日本的一些组织企业。
Blackgear间谍组织曾在2012年时,大肆攻击台湾的政府、企业、组织,据众多安全公司监测发现他们攻击时使用的恶意软件是Elirks,当时他们的攻击对台湾造成了很大影响。
Blackgear终于舍弃旧爱,找上了日本
Blackgear的攻击形式主要是水洞式攻击,攻击载体是鱼叉式钓鱼邮件或者被入侵的网站,用它们来传递恶意软件。这些被入侵的网站是用来下载恶意代码的,它会释放一个诱饵文件和一个能够获取Blackgear后门(也就是我们熟知的Elirks和Ymalr)的下载器。
安全研究员们发现,Elirks和Ymalr还会被用来当做C&C基础设施服务器,这样能够更好的躲避安全检测,同时还能允许攻击者继续隐藏他们真实的C&C服务器,还可以随时转换攻击时的服务器。
趋势科技在他们的博客中写道:
Blackgear是一个网络间谍组织,多年来,他们的攻击目标一直都是台湾。网络上已经有大量的报告在描述这一网络间谍行动,2012年首次被发现,并且当时使用的是Elirks后门。它惯用的伎俩就是使用博客来隐藏其真实的C&C服务器地址。所以攻击者要想改变其服务器地址就非常简单,只要更改博客中的内容就OK了。
和其他间谍攻击行动一样,它也在不断的进化。趋势科技的研究发现,他们最近开始将攻击目标转移至了日本用户。
安全研究员推测,Blackgear的间谍方式在不断进化,其背后的攻击者也在不断的变化,最近可能搬去了日本。因为攻击中诱饵文件的语言是日语,博客的服务器也在日本。
PaloAlto的安全专家也同意趋势科技的这一观点,因为他们也发现了几次针对日本的间谍攻击,并且攻击类型和之前对台湾的攻击非常相似。