CTI論壇(ctiforum)1月20日消息(記者李文杰):ArborNetworksInc.(系NETSCOUT安全部門)日前發(fā)布最新ASERT(Arbor安全工程響應(yīng)小組)威脅智能感知報(bào)告,詳細(xì)闡述了一場涉及各國政府網(wǎng)站和非政府組織的大型攻擊活動。此次威脅活動涉及最新發(fā)現(xiàn)的一種名為“Trochilus”的遠(yuǎn)程訪問木馬(RemoteAccessTrojan(RAT))。據(jù)悉,Trochilus受東亞威脅分子的暗中支持。Trochilus是七大惡意軟件集群的一部分,可為威脅分子提供一系列廣泛功能,其中包括間諜活動以及在目標(biāo)網(wǎng)絡(luò)內(nèi)橫向移動以實(shí)現(xiàn)更具破壞性訪問的各種手段。
這是Arbor安全工程響應(yīng)小組(ASERT)在全球互聯(lián)網(wǎng)上發(fā)現(xiàn)的首例TrochilusRAT。ASERT目前尚未發(fā)現(xiàn)任何公開發(fā)布的消息中提及針對性的威脅活動在使用這款惡意軟件。
2015年,ArborNetworks和其他研究組織發(fā)現(xiàn)了PlugX和EvilGrab惡意軟件將目標(biāo)瞄準(zhǔn)亞洲政府網(wǎng)站。在將初步調(diào)查結(jié)果送交區(qū)域級的計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)之后,ArborNetworks還在相關(guān)網(wǎng)站中發(fā)現(xiàn)并刪除了更多的惡意軟件。新惡意軟件在Arbor最初啟動通知流程之后仍然涌現(xiàn),這表明威脅活動仍在持續(xù),威脅分子賊心不死且狡猾多變。除了更新Arbor產(chǎn)品中的安全策略以外,ASERT還定期與世界各地的威脅智能感知和事件響應(yīng)社區(qū)、數(shù)百個國際CERT以及數(shù)千家網(wǎng)絡(luò)運(yùn)營商分享操作洞察。
這份ASERT威脅智能感知報(bào)告闡述了Trochilus惡意軟件系列的簡要發(fā)展史,概述了該惡意軟件如何運(yùn)行,并對整個威脅活動(其中包括PlugX、EvilGrab和9002RAT惡意軟件的部署)進(jìn)行更深層次的技術(shù)分析。
關(guān)于ArborNetworks
ArborNetworks是NETSCOUT的安全部門,幫助世界上最大的企業(yè)和服務(wù)提供商網(wǎng)絡(luò)避免受到DDoS攻擊和高級威脅。據(jù)InfoneticsResearch表示,Arbor是在企業(yè)、運(yùn)營商和移動市場領(lǐng)域全球領(lǐng)先的DDoS防護(hù)供應(yīng)商。Arbor的高級威脅解決方案通過結(jié)合數(shù)據(jù)包捕獲和NetFlow技術(shù),提供全面的網(wǎng)絡(luò)可視性,從而快速檢測和緩解惡意軟件和內(nèi)部人員惡意行為。Arbor還對動態(tài)事件響應(yīng)、歷史分析、可視化和取證提供市場領(lǐng)先的分析。Arbor致力于將自身打造成為“能量倍增器”,將其網(wǎng)絡(luò)和安全成員打造成為專家團(tuán)隊(duì)。我們的目標(biāo)是提供更豐富的網(wǎng)絡(luò)和更安全的環(huán)境,讓客戶可以更快地解決問題并減少其企業(yè)面臨的風(fēng)險。