DragonFly恶意软件与BlackEnergy和TeamSpy等攻击活动联系紧密

      McAfee Labs 通过收集的证据表明 DragonFly 恶意软件与 BlackEnergy 和 TeamSpy 等其他黑客攻击活动有莫大联系，这些攻击活动在技术、战术和程序方面都非常相似。

      赛门铁克今年 9 月发布了关于 “DragonFly 2.0 行动” ——针对数十家能源公司进行黑客攻击的详细分析报告，在对制药、金融和会计行业遭遇过网络攻击案例进一步调查分析后，研究团队发现这些攻击活动在技术、战术和程序方面都存在相似之处（如使用鱼叉式网络钓鱼、特定漏洞攻击和供应链污染等），他们怀疑 “DragonFly 2.0 行动”与 2014 年观察到的 DragonFly 攻击行动背后是同一个黑客组织。

DragonFly 与 TeamSpy 之间的关联

      研究人员通过对恶意软件的关联分析，发现前两款恶意软件都使用了 TeamSpy 恶意软件中相同的  TeamViewer（由匈牙利安全公司 Crysys 分析提出）。

TeamSpy 黑客组织攻击过许多高级机构，包括俄罗斯驻华大使馆、 法国和比利时的多个研究和教育机构、一家位于伊朗的电子公司和位于俄罗斯的工业制造商等。

      尽管此前的分析报告倾向于将黑客攻击归因于一个或多个黑客组织、认为他们彼此分享了攻击战术和工具，但研究人员同时表示， 黑客组织 TeamSpy 背后的动机与 DragonFly 类似。

DragonFly 与 BlackEnergy 之间的关联

      如上图，研究人员发现今年捕获的 DragonFly 恶意软件样本中包含与 2016 年 BlackEnergy 恶意软件相关的代码块。

      虽然这种自我删除的代码块在恶意软件中非常常见，但通常是通过创建批处理文件并执行批处理而不是直接调用 delete 命令来实现。 而在通过对比 2015 年 10 月 31 日在乌克兰被捕获的 BlackEnergy 样本代码与 DragonFly 样本后，研究人员发现他们之间的代码几乎都是相同的，因此揭示了 BlackEnergy 和 Dragonfly 之间的相关性。

消息来源：Security Affairs 

转自 HackerNews.cc 

标签： 安全 代码 金融 漏洞 网络 行业

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。