据外媒报道,网络安全公司ESET的研究人员发现了恶意软件Okrum和Ketrican的新版本,可能与针对外交组织实施网络间谍活动的Ke3chang组织有关。
2015年,研究人员发现黑客组织使用恶意软件Ketrican专门攻击斯洛伐克,克罗地亚、捷克共和国等欧洲国家也受到了影响。
2016年底,研究人员首次发现恶意软件Okrum,当时它被用于攻击比利时、斯洛伐克、巴西、智利和危地马拉的外交组织。Okrum可以调用ImpersonateLoggedOnUser API来模拟登录用户的安全环境,以获得管理员权限。随后,它会自动收集有关受感染计算机的信息,包括计算机名称、用户名、主机IP地址、主DNS后缀、OS版本、内部版本号、体系结构、用户代理字符串和区域设置信息(语言名称,国家/地区名称)。
研究发现,Okrum后门删除了2017年的Ketrican后门。另外一个重要发现是,一些受Okrum恶意软件影响的外交部门也受到了2015年和2017年的Ketrican后门的影响。因此Okrum和Ketrican存在一定联系。
2019年3月份,研究人员发现了新的Ketrican样本,该样本是从2018年的Ketrican后门发展而来。
全部评论