返回新闻列表

Adwind:恶意软件服务平台造成全球超过400,000名用户和组织遭遇攻击

        卡巴斯基实验室的全球研究和分析团队发表了一篇关于Adwind 远程管理工具(RAT)的深度研究报告。Adwind是一款跨平台的多功能恶意软件,又被称为AlienSpy、Frutas、Unrecom、Scokrat、JSocket和jRat。这种恶意软件通过一种恶意软件服务平台进行传播。根据调查结果。2013至2016年期间,多种版本的Adwind恶意软件被用于实施攻击,受害者遍及全球至少443,000名个人用户、商业和非商业组织。目前,该恶意软件服务平台和Adwind恶意软件仍在活跃。

        2015年末,在对一起针对新加坡一家银行进行的针对性攻击调查中,卡巴斯基实验室的研究人员注意到一款不同寻常的恶意软件。受攻击的银行员工会收到一封进行鱼叉式钓鱼攻击的邮件,其中包含一种恶意JAR附件。调查发现,这种恶意软件功能很多,可以运行在多种平台上,并且无法被反病毒解决方案检测出来,这些特点立刻吸引了研究人员的注意。

AdWind 远程管理工具(RAT)

       原来,该组织遭遇到Adwind RAT的攻击。这是一种可以购买的后门程序,运行于Java环境,所以可以跨平台感染。该恶意软件能够运行于Windows、OS X、Linux和安卓平台,提供远程桌面控制功能、数据收集和数据渗透功能等。

       如果受攻击用户打开了附带的JAR文件,恶意软件会自动安装,并试图同命令和控制服务器进行通讯。该恶意软件的功能包括:

  • 收集用户键盘输入内容
  • 窃取缓存的密码,从网页表单中抓取数据
  • 截屏
  • 通过网络摄像头拍照和录制视频
  • 通过麦克风录音
  • 传输文件
  • 收集系统和用户信息
  • 窃取加密货币钱包密匙
  • 管理手机短息(安卓系统)
  • 窃取VPN证书

       这种恶意软件主要由机会主义攻击者使用,并且通过大规模的垃圾邮件进行传播。此外,Adwind也被用于针对性攻击中。2015年8月,Adwind登上了新闻,被发现同一起针对一名阿根廷检察官的网络间谍攻击有关,这名检察官于2015年1月被发现死亡。Adwind还被用于针对新加坡银行的攻击中。经过对Adwind RAT所涉及的攻击事件进行调查后,我们发现这些针对性攻击只是其中一小部分。

感兴趣的攻击目标

       调查中,卡巴斯基实验室研究人员对近200起由不明网络罪犯发动的用于传播AdWind恶意软件的鱼叉式钓鱼攻击进行了分析,发现以下行业最容易遭受Adwind恶意软件攻击:

  • 制造业
  • 金融业
  • 工程工业
  • 设计行业
  • 零售业
  • 政府
  • 航运业
  • 电信行业
  • 软件行业
  • 教育行业
  • 食品加工行业
  • 医疗行业
  • 媒体
  • 能源行业

       根据卡巴斯基安全网络获取到的信息,上述200起鱼叉式钓鱼攻击发生于2015年8月至2016年1月这六个月期间,导致超过68,000名用户遭遇AdWind RAT恶意软件样本。卡巴斯基安全网络在这期间记录到的受攻击者的地理分布显示约有一半(49%)的攻击者均位于以下十个国家和地区,分别为:阿联酋、德国、印度、美国、意大利、俄罗斯、越南、香港、土耳其和台湾。

        根据我们识别的被攻击目标情况,卡巴斯基实验室研究人员认为Adwind平台的客户包括以下其中:想要将攻击更进一步的网络欺诈者(使用恶意软件实施更为复杂的欺诈行为)、不公平的竞争对手、网络雇佣军(可供雇佣的间谍)和想要监视他人的个人。

威胁服务

       Adwind RAT区别于其它商业恶意软件的主要特征是该恶意软件公开以收费服务的形式进行传播。“客户”可以付费使用这款恶意程序。根据在内部留言板和其它渠道对用户行为的调查,卡巴斯基实验室研究人员估计到2015年末,这一系统有约1,800名用户。所以,Adwind是目前现存的最大的恶意软件平台。

        “目前的Adwind平台显著降低了潜在网络罪犯进入网络犯罪领域所需的专业知识需求。根据我们对新加坡银行的攻击调查,我们可以确定这次攻击的幕后罪犯根本不是专业的黑客,而且我们认为大多数Adwind平台的“客户”计算机知识水平都不高。这一趋势非常令人担忧,”卡巴斯基实验室首席安全专家Aleksandr Gostev说。

        “尽管最近几年安全厂商针对这一恶意工具的报道很多,但是该恶意软件平台仍然在活跃,其中充斥着各种类型的网络罪犯。我们进行相关研究,目的是吸引安全社区和执法机关的注意,采取措施彻底摧毁这一威胁,”卡巴斯基实验室全球研究和分析团队亚太区总监Vitaly Kamluk说。

        卡巴斯基实验室已将针对Adwind的研究结果上报给执法机关。

        为保护自己和自己所在组织抵御这种威胁,卡巴斯基实验室建议企业重新考虑使用Java平台的必要性,并且屏蔽所有未经授权的来源使用Java。

        想要了解更多关于AdWind恶意软件服务平台详情,请访问Securelist.com

        要了解我们是如何对复杂的针对性攻击进行调查的,请访问:http://www.youtube.com/watch?v=FzPYGRO9LsA

        更多关于网络间谍攻击行动详情,请访问https://apt.securelist.com/