安全研究人员发现,黑客组织非常擅长利用一些重大事件即兴发挥组织一个攻击行动,近期发现了黑客冒充国际组织推广免费的安全软件,声称可以防范NSO Group的Pegasus间谍监控软件,但该安全软件实际上是一款恶意软件。
根据网络安全行业门户极牛网GEEKNB.COM的梳理,黑客建立了一个看起来像国际组织的钓鱼网站,并指出一个承诺的防病毒工具可以抵御 NSO Group 的 Pegasus 间谍软件,然而,下载的实际上是安装了鲜为人知的 Sarwent 恶意软件。
受该攻击活动影响最大的国家包括英国、美国、俄罗斯、印度、乌克兰等。虽然不清楚受害者是如何被诱骗访问虚假的国际组织网站的,但安全研究人员推测,这些攻击针对的就是专门寻求防御Pegasus间谍监控软件的用户。
该调查揭示了这家以色列公司NSO Group的 Pegasus军用级间谍软件被广泛滥用,以通过监视世界各地的国家元首、记者和律师来促进侵犯人权的行为。此后,该非政府组织还发布了一个移动验证工具包 ( MVT ),以帮助个人扫描他们的 iPhone 和 Android 设备以获取入侵证据。
除了通过设计一个与国际组织合法门户网站外观来利用社会工程技巧外,这种作案手法还旨在诱使访问者下载“Amnesty Anti Pegasus Software”,伪装成具有以下特征的防病毒工具使坏人能够找到远程进入受感染机器并泄露敏感信息(例如登录凭据)的功能。
小批量活动中使用的 Sarwent 样本是一个高度定制的变体程序,用 Delphi 编码,能够允许通过VNC或RDP进行远程桌面访问,并执行从攻击者控制的域接收的命令行或 PowerShell 指令,其结果被发送回服务器。
思科Talos实验室将该攻击归因于位于美国的俄罗斯籍攻击者,该攻击者至少自 2021 年 1 月以来以不断增加的涉及 Sarwent 后门的攻击而闻名,该后门涉及各种受害者,并指出对所谓的防病毒软件所做的修改程度很可能证据表明操作员可以访问 Sarwent 恶意软件的源代码。
极牛网精选文章《恶意软件冒充国际组织分发安全软件,称可抵御NSO间谍软件》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16539.html