888真人娱乐送18元 卡巴斯基发现了2017 Shadow Brokers泄露中提到的神秘APT

 更新时间:2019-12-26 13:33:03

888真人娱乐送18元 卡巴斯基发现了2017 Shadow Brokers泄露中提到的神秘APT

888真人娱乐送18元,2017 年,一个名叫 shadow brokers 的神秘黑客团体,在网络上公布了名为“lost in translation”的数据转储,其中包含了一系列据称来自美国国家安全局(nsa)的漏洞利用和黑客工具。此后臭名昭著的 wannacry、notpetya 和 bad rabbit 勒索软件攻击,都基于这里面提到的 eternalblue 漏洞。现在,卡巴斯基研究人员又发现了另一座冰山,它就是一个名叫 sigs.py 的文件。

(题图 via zdnet)

据悉,该文件是一个名副其实的情报数据宝库。作为内置的恶意软件扫描程序,黑客利用它来扫描受感染的计算机,以查找是否存在其它高级可持续威胁(apt / 通常指背后能量巨大的黑客团体)。

总 sigs.py 脚本包括了用于检测其它 44 个 apt 的签名,但在 2017 年泄密之初,许多网络安全行业从业者并没有对此展开深入研究,表明 nsa 知晓且有能力检测和追踪许多敌对 apt 的运行。

在上月的一份报告中,卡巴斯基精英黑客手雷部门 great 表示,他们终于设法找到了其中一个神秘的 apt(通过 sigs.py 签名的 #27 展开追踪)。

研究人员称,darkuniverse 组织从 2009 到 2017 年间一直活跃。但在 shadowbrokers 泄漏后,他们似乎就变得沉默了。

great 团队称:“这种暂停或许与‘lost in translation’泄漏事件的发生有关,或者攻击者决定改用更加现代的方法、开始借助更加广泛的手段”。

该公司称,其已在叙利亚、伊朗、阿富汗、坦桑尼亚、埃塞俄比亚、苏丹、俄罗斯、白罗斯、以及阿联酋等地,找到了大约 20 名受害者。其中包括了民间和军事组织,如医疗、原子能机构、以及电信企业。

不过,卡巴斯基专家认为,随着时间的推移和对该集团活动的进一步深入了解,实际受害者人数可能会更多。至于 darkuniverse 恶意软件框架,卡巴斯基表示,其发现代码与 itaduke 恶意软件 / apt 重叠。

相关阅读