详细内容或原文请订阅后点击阅览
GoblinRAT:在俄罗斯国家系统中生活了三年的隐形间谍
复杂的伪装方法多年来一直无法检测到该软件。
来源:安全实验室新闻频道复杂的伪装方法多年来一直无法检测到该软件。
Solar Group 的 Solar 4RAYS 网络威胁研究中心发现了一种具有广泛伪装功能的独特 GoblinRAT 恶意软件。专家们在俄罗斯多个部门和为公共部门服务的 IT 公司的网络中发现了这一问题。最早的感染痕迹可以追溯到 2020 年。迄今为止,这是 Solar 4RAYS 专家遇到的最复杂、最隐蔽的攻击之一。
检测到首次发现 GoblinRAT 发生在 2023 年,当时正在调查一家主要为政府机构提供服务的 IT 公司的事件。该组织的全职信息安全专家注意到服务器上的系统日志被删除的证据,以及下载实用程序以窃取域控制器帐户密码的证据。经过专家的介入和长时间的搜索,发现了伪装成合法应用程序进程的代码。恶意进程的参数并没有以任何方式引人注目,启动它的文件与合法文件的名称只有一个字母不同。这样的细节只有通过手动分析数千兆字节的数据才能注意到。
进一步分析表明,GoblinRAT 缺乏自动固定功能:攻击者首先仔细研究目标基础设施的功能,然后才以独特的伪装引入恶意软件 - 总是以在特定系统上运行的应用程序之一为幌子。攻击。专家们确信,这清楚地表明了攻击的针对性。
Solar 指出,借助该软件,攻击者完全控制了受害者的基础设施。 GoblinRAT 运营商可以无限制地访问受攻击的基础设施,并可以窃取、修改和销毁可访问服务器上的任何信息。
标记