导语:几年前,火眼的安全研究员们发现了一种新版本的APT(高级持续性攻击)恶意软件,它的主要目标是中东国家、中亚国家、非洲国家、美国。
几年前,火眼的安全研究员们发现了一种新版本的APT(高级持续性攻击)恶意软件,它的主要目标是中东国家、中亚国家、非洲国家、美国。
该恶意软件被命名为MM Core,首次出现在2013年4月。火眼的安全研究员发现该木马被设计的初衷是搜集受害者设备上的信息,并在其电脑上安装一个后门,以供远程访问。
该木马的第一个版本为2.0-LNK,被安全研究员命名为BaneChant。它的攻击目标主要是中东和中亚国家。
BaneChant之所以会引起研究员的注意,是因为它不会立马执行恶意操作,而是等待受害者有大量的点击鼠标操作之后才会执行操作,这样做可能是为了躲避沙盒检测。另外,BaneChant还使用短网址服务来保护其C&C服务器不被列入黑名单,将自己的恶意代码下载至计算机的存储器中,以躲避调查者的追踪。
2013年6月,Context信息安全公司的研究员们又发现了MM Core恶意软件的新变体,版本为2.1-LNK,同时也被给予了新的名称StrangeLove。新版本的木马和之前版本木马的功能基本相似,只不过开发者在其下载器上做了一些改变。StrangeLove的攻击目标仍然是中东地区。
不断更新中的木马
Forcepoint 的安全研究员最近又发现了MM Core的两种新变体:BigBoss (2.2-LNK)和SillyGoose (2.3-LNK)。BigBoss首次出现在2015年6月,SillyGoose首次出现在2016年9月。目前这两种木马仍然在攻击者使用中。
据Forcepoint的研究发现,新版本木马主要的攻击地域是非洲和美国,并且攻击目标锁定在新闻媒体、政府机构、石油天然气行业和通信行业。
最新版本木马使用了和BaneChant、StrangeLove相同的后门,但是他们的文件名和mutexes却不同。另外一个不同点是,新版本木马利用的是一个编号为 CVE-2015-1641 的Microsoft Word 漏洞,第一个木马利用的是编号为CVE 2012-0158的漏洞。
Forcepoint的安全研究还发现,木马下载器使用的是俄罗斯的数字证书,当然肯定是偷来的。为了阻止被安全研究员追查到他们的构架,木马背后的组织已经开始使用WHOIS的隐私保护服务来保护他们的C&C域名了。