資安業者Arbor Networks去年底在調查由Group 27駭客組織發起的間諜活動時,發現了一個新的遠端存取木馬程式(Remote Access Trojan,RAT)Trochilus。

Arbor Networks說明,Group 27的活動與緬甸的選舉有關,主要使用7款惡意程式,包含PlugX、EvilGrab、9002 RAT與Trochilus等,這些惡意程式各有不同的作用,可於目標網路中游移與監控,且多為已知的惡意程式,但其中的Trochilus在發現的當下並無任何防毒軟體可偵測到它。

Trochilus為希臘文字,指的可能是希臘神話中發明戰車的人物,或是蜂鳥。根據Arbor Networks的分析,Trochilus只於記憶體中執行,且其payload在正常操作下並不會出現於磁碟中,可躲避偵測並連結外部伺服器,其產生器介面顯示的是簡體中文,以「Trochilus」進行搜尋時,找到的資料非常稀少,其中一個是來自於中文部落格「村里的草泥馬之家」,內容提到遠端遙控Trochilus,並附上一個GitHub連結。

Trochilus支援Shellcode擴充程式、遠端移除、檔案管理、遠端Shell、下載/執行及上傳/執行等功能。

Arbor Networks表示,有鑑於駭客已將Trochilus列入攻擊套件中,因而特別對外提醒有關Trochilus的存在。

熱門新聞

Advertisement