俄羅斯黑客組織「奇幻熊」又搞事情 利用合法軟體LoJack作為攻擊後門

「用指尖改變世界」

網路安全公司ATLAS（Arbor Networks, Inc.）在本周二（5月2日）發表的一篇博文中稱，他們的研究人員在最近發現了指向惡意命令和控制（C&C）伺服器的Lojack代理。而從C&C伺服器的域名來看，它們與俄羅斯黑客組織「奇幻熊」在過去的攻擊活動中所使用的域名聯繫在了一起。

奇幻熊，英文名「Fancy Bear」，也被稱為Sofacy Group、Sednit、Pawn Storm或APT28。這是一個被懷疑得到俄羅斯國家政府支持的網路黑客組織，其主要攻擊目標通常是各國政府和國際組織，是高級持續性威脅（Advanced Persistent Threat，APT）攻擊的典型代表。

自從2007年以來，該組織一直保持活躍，在全球範圍內開展網路間諜活動。根據相關報道顯示，該組織曾入侵過北約、奧巴馬白宮、法國電視台、世界反興奮劑機構和無數非政府組織以及歐洲、中亞和高加索地區的軍事和民間機構，而美國網路安全界早已將其列入到嚴密監控的列表之中。

Lojack官方名稱為「Computrace」，是由Absolute Software公司開發的一款合法的防偷竊系統軟體。它可以被安裝在筆記本電腦、平板電腦或者智能手機上，允許用戶追蹤並定位自己的設備。這意味著即使設備丟失或者被盜，只要設備重新聯網，Lojack都能夠鎖定設備所在的位置，並將信息發送到用戶預先設定的電子郵箱。

ATLAS公司的研究人員發現，Lojack軟體的二進位文件被進行了修改，使得LoJack 代理指向了惡意C&C伺服器，而不會將報告發送給 LoJack 中心伺服器。研究人員確定了五個Lojack代理，分別指向四個不同的可疑域。進一步的分析表明，其中有三個與奇幻熊組織存在關聯。

Lojack的創始人Absolute Software曾在其網站上表示，該代理除了可以遠程定位和鎖定設備之外，還可以用於恢復或擦除文件。另外，有安全專家在2014年舉行的黑帽技術（Blackhat）大會上曾指出，LoJack 軟體可以被濫用作為具備持久性的模塊化後門，即使是更換硬碟或者使用鏡像文件重新恢復系統也能夠被保留下來。

不僅如此，它還能夠讓攻擊者在目標系統以最高的可能許可權執行任意代碼。這種功能將允許攻擊者在受感染設備上下載其他額外的惡意軟體、檢索並竊取敏感數據、將被盜數據發送給遠程伺服器、清理任何入侵證據日誌以及擦除文件，甚至是導致設備損壞。

由於奇幻熊組織只是對Lojack軟體的二進位文件進行了極小的修改（僅涉及某個配置文件），因此導致許多反病毒引擎只是將其標記為「風險軟體（Riskware）」或者「不安全（unsafe）」， 甚至無法檢測出它的惡意性質。在ATLAS 的文章發表後，從本周四（5月3日）開始，許多反病毒供應商已經迅速作出響應，將樣本正確標記為「惡意軟體（malware）」 和「雙重間諜（DoubleAgent）」。

研究人員表示，利用合法軟體來開展惡意活動是一種很常見的策略，這會導致大多數反病毒引擎都不會直接將其檢測為惡意軟體。儘管目前尚不清楚奇幻熊組織是如何來傳播Lojack軟體的受感染版本的，但從其之前所開展的活動來看，很有可能是通過網路釣魚電子郵件。

正如前面提到的那樣，受感染的Lojack軟體版本會為攻擊者提供一個能夠進入系統的持久性後門，並允許攻擊者執行各種惡意操作。因此，如果你恰好就是Lojack軟體的用戶，請保持使用反病毒軟體的習慣，並警惕那些未知來源的電子郵件。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！