信息來源：企業(yè)網(wǎng)

        賽門鐵克最近發(fā)現(xiàn)了一個(gè)此前不為人所知的網(wǎng)絡(luò)間諜組織——名叫“Sowbug（潮蟲）”。該組織一直在對南美和東南亞企業(yè)進(jìn)行高度針對性的網(wǎng)絡(luò)攻擊，其中涉及到一些外交政策政府部門和外交組織機(jī)構(gòu)。據(jù)賽門鐵克公司最近發(fā)布的一份分析報(bào)告顯示，“潮蟲”網(wǎng)絡(luò)間諜組織會采取一些間諜攻擊活動，來竊取政府部門文件。

        賽門鐵克的專家還發(fā)現(xiàn)，“潮蟲”黑客組織還對阿根廷、巴西、厄瓜多爾、秘魯、以及馬來西亞等國的外交政策部門、政府機(jī)構(gòu)和外交組織發(fā)動過秘密襲擊。他們使用了一個(gè)名為“Felismus”的惡意軟件來破壞目標(biāo)系統(tǒng)，相關(guān)惡意代碼是在今年三月份被 Forcepoint 公司研究人員首次發(fā)現(xiàn)，不過只有賽門鐵克公司的專家探索到這些惡意代碼其實(shí)和“潮蟲”組織相關(guān)。

Forcepoint 公司在一份聲明中表示：

        “根據(jù)分析顯示，惡意軟件總體上是模塊化的，代碼編寫的很出色，而且會竭盡全力地組織安全分析工作和溝通內(nèi)容。很明顯，這些攻擊都是有高度針對性的。此外，正如此前分析所討論的那樣，這些惡意軟件還可以獲取重復(fù)使用的電子郵件地址和其他類似可追溯的文件內(nèi)容?！?

        Felismus 是一個(gè)可遠(yuǎn)程訪問的特洛伊木馬程序，設(shè)計(jì)的非常復(fù)雜，呈模塊化結(jié)構(gòu)，允許后門木馬擴(kuò)展其功能。

賽門鐵克公司補(bǔ)充表示：

        “我們在今年三月首次發(fā)現(xiàn)了一個(gè)名為Felismus的全新惡意軟件在東南亞對目標(biāo)進(jìn)行了攻擊，這是我們看到與‘潮蟲’組織相關(guān)的間諜活動的第一個(gè)證據(jù)。隨后，我們確認(rèn)了太平洋兩岸的更多受害者。盡管 Felismus 惡意軟件攻擊在今年三月份就已經(jīng)被發(fā)現(xiàn)了，但是直到最近才知道該工具和‘潮蟲’組織有關(guān)聯(lián)。塞門鐵殼還能夠?qū)⒁恍┰缙诘墓艋顒雍汀毕x’組織聯(lián)系起來，證明他們至少從兩年前、甚至更早的時(shí)候就開始運(yùn)行了?！?

        Felismus 惡意軟件后門運(yùn)行攻擊者完全控制受感染的系統(tǒng)，研究人員已經(jīng)將此前多筆攻擊活動和“潮蟲”黑客組織關(guān)聯(lián)了起來，他們的結(jié)論是，至少從2015年開始，該組織就已經(jīng)非?；钴S了。

賽門鐵克公司在報(bào)告中提到：

        “到目前為止，‘潮蟲’組織的攻擊對象似乎主要集中在南美洲和東南亞的政府實(shí)體，包括阿根廷、巴西、厄瓜多爾、秘魯、文萊和馬來西亞。該黑客組織資源充足，能夠同時(shí)滲透多個(gè)目標(biāo)，而且經(jīng)常在政府機(jī)構(gòu)工作時(shí)間之外運(yùn)作?！?

據(jù)惡意軟件研究人員透露，“潮蟲”組織使用虛假的 Windows 或 Adobe Reader 軟件更新來侵入目標(biāo)系統(tǒng)。在該黑客組織中，還有一個(gè)名為 Starloader 的工具，可用于在目標(biāo)系統(tǒng)上部署更多惡意軟件和工具，比如憑證轉(zhuǎn)儲器和鍵盤記錄器。

        這個(gè) Starloader 工具會被包裝成一些軟件更新程序，比如 AdobeUpdate.exe，AcrobatUpdate.exe，或是 INTELUPDATE.EXE，等等。

賽門鐵克表示：

        “黑客提供的工具文件名和正版軟件使用的文件名十分相似，并且將其放置在可能被誤認(rèn)為合法軟件使用的目錄樹中。這使得攻擊者很好地隱藏起來，因?yàn)榧幢氵@些惡意軟件在進(jìn)程列表中出現(xiàn)，也不太可能會引起人們的懷疑?！?

        不僅如此，“潮蟲”黑客組織通常會在標(biāo)準(zhǔn)辦公時(shí)間之外進(jìn)行攻擊操作。在一個(gè)案例中，他們在目前網(wǎng)絡(luò)上潛伏了長達(dá)六個(gè)月時(shí)間（從去年九月到今年三月）都沒有被發(fā)現(xiàn)。