安全公司FireEye發現一隻名為Hammertoss的後門程式,可利用Twitter和GitHub等合法網站作為掩護,以躲避偵測,並達到暗中竊取用戶資料的目的。

 FireEye最早在五月初首度發現Hammertoss,它背後是一個名為APT 29的俄國駭客組織,該公司懷疑有俄國政府的支持。FireEye認為,Hammertoss可能是作為APT 29其他主要後門程式的輔助工具,以便在主要攻擊被發現後可以繼續執行指令和存取受害電腦。

Hammertoss加入了模糊與模仿合法使用者行為的技巧,像是利用常見知名網站,像是Twitter、GitHub和雲端儲存服務來轉送指令以躲避安全專家的偵測,再從受害電腦竊取資料。Hammertoss其中一個變種,名為tDiscovery的後門程式,就是先到Twitter上取得C&C(Command and Control)URL,再連向這個網站以下載目標圖片。

安全人員解析其中的過程指出,Hammertoss在進入受害者電腦後,會以演算法每天新建並找尋不同的Twitter帳號(Twitter handle),之後就再登入Twitter對應的頁面。登入後,即開始尋找包含C&C伺服器的URL及說明特定圖像位置與最小尺寸的hashtag,接著造訪該URL尋找這張圖片。

這張看似正常的圖片其實暗藏了以隱寫術(steganography)加密的指令。Hammertoss將指令解密後,C&C伺服器即可命令受害電腦中的惡意程式執行指令,像是執行偵察、透過PowerShell執行指令,或是把受害者資料上傳到雲端儲存服務。

FireEye指出,雖然也有其他APT團體企圖隱藏蹤跡,但APT29的能力更出其右,他們具備減少或消滅鑑識證據的訓練,以及偵察與躲避網路安全防禦工事的強大能力。

二個月前FireEye也發現中國駭客組織APT17利用微軟TechNet網站來隱藏遠端控制受害電腦的C&C通訊,以達成竊取資料或修改、刪除檔案等目的。(編譯/林妍溱)


Advertisement

更多 iThome相關內容