卡巴斯基發(fā)布了關(guān)于Evasive Panda威脅組織發(fā)起的一場(chǎng)復(fù)雜網(wǎng)絡(luò)間諜活動(dòng)的最新調(diào)查結(jié)果。攻擊者通過將惡意軟件注入合法的系統(tǒng)進(jìn)程中來執(zhí)行代碼，并在受害系統(tǒng)中保持隱蔽。該攻擊行動(dòng)從2022年11月持續(xù)活躍到2024年11月，已侵入土耳其、中國(guó)和印度的多個(gè)系統(tǒng)，部分感染甚至持續(xù)了一年以上。這一發(fā)現(xiàn)揭示了該組織不斷演變的攻擊手法及其對(duì)目標(biāo)網(wǎng)絡(luò)實(shí)施長(zhǎng)期滲透的策略。

此次攻擊采用了一種欺詐性誘餌，將惡意軟件偽裝成流行并合法的Windows應(yīng)用程序的軟件更新，涉及搜狐影音、愛奇藝視頻、IObit Smart Defrag 和騰訊 QQ。這些假冒的更新程序旨在與受信任的軟件完美融合，使攻擊者能夠啟動(dòng)惡意活動(dòng)而不被立即察覺。攻擊者還使用了 DNS投毒技術(shù)，從其服務(wù)器分發(fā)惡意軟件組件，使其看起來像是存儲(chǔ)在某個(gè)知名的合法網(wǎng)站上。

這些攻擊的核心是擁有十年歷史的 MgBot 植入程序。這是Evasive Panda至少自 2012 年以來一直用于網(wǎng)絡(luò)間諜活動(dòng)的模塊化惡意軟件框架，其功能插件涵蓋了鍵盤記錄、文件竊取和命令執(zhí)行等任務(wù)。在2022至2024年的攻擊中，MgBot更新了包括多個(gè)命令與控制（C2）服務(wù)器在內(nèi)的新配置，以確保入侵的冗余性并維持長(zhǎng)期訪問權(quán)限。

“這次的攻擊活動(dòng)充分體現(xiàn)了攻擊者在規(guī)避防御方面的努力，同時(shí)他們還重新利用了如 MgBot 這樣已被驗(yàn)證有效的工具。在這場(chǎng)長(zhǎng)達(dá)兩年的攻擊活動(dòng)中，他們展示了一種資源密集且持久化的攻擊方式，利用用戶對(duì)日常應(yīng)用程序的信任，在關(guān)鍵系統(tǒng)中維持立足點(diǎn)。值得注意的是，他們采用了自適應(yīng)的部署策略，在服務(wù)器端根據(jù)特定的操作系統(tǒng)環(huán)境定制植入物，從而實(shí)現(xiàn)了高度針對(duì)性的間諜活動(dòng)。組織需要采取積極主動(dòng)的、情報(bào)驅(qū)動(dòng)的安全措施來對(duì)抗這種持久的攻擊活動(dòng)，”卡巴斯基安全專家Fatih Sensoy評(píng)論說。

卡巴斯基大中華區(qū)總經(jīng)理鄭啟良表示：“Evasive Panda發(fā)起的此次攻擊活動(dòng)，彰顯了他們不遺余力地追求隱蔽性和長(zhǎng)期滲透的行徑。他們采用自適應(yīng)策略，利用受信任的應(yīng)用程序并不斷改進(jìn)MgBot，構(gòu)成了重大威脅。組織和個(gè)人用戶必須采取積極主動(dòng)、以情報(bào)為主導(dǎo)的安全措施，以應(yīng)對(duì)如此頑固的對(duì)手?！?/p>

更多詳情請(qǐng)參閱Securelist。

卡巴斯基呼吁各組織和個(gè)人用戶對(duì)此類及類似的威脅保持高度警惕。根據(jù)調(diào)查結(jié)果，卡巴斯基給出以下安全建議：

·組織應(yīng)強(qiáng)制對(duì)軟件更新實(shí)施多因素認(rèn)證，并使用端點(diǎn)檢測(cè)工具仔細(xì)檢查更新包是否存在異常，例如非預(yù)期的文件存放路徑，或與已知惡意模板相似的代碼特征。

·組織應(yīng)加強(qiáng)對(duì)中間人（AitM）攻擊指標(biāo)的網(wǎng)絡(luò)監(jiān)控：定期審計(jì)DNS響應(yīng)和網(wǎng)絡(luò)流量，檢查是否存在投毒或攔截跡象。

·組織還應(yīng)針對(duì)用戶進(jìn)行培訓(xùn)，使其能夠識(shí)別偽裝成信任廠商更新程序的釣魚誘餌。

·個(gè)人用戶應(yīng)通過可靠防護(hù)解決方案主動(dòng)進(jìn)行惡意軟件掃描。

關(guān)于全球研究與分析團(tuán)隊(duì)

全球研究與分析團(tuán)隊(duì)（GReAT）成立于 2008 年，是卡巴斯基的核心部門，負(fù)責(zé)揭露 APT、網(wǎng)絡(luò)間諜活動(dòng)、重大惡意軟件、勒索軟件和全球地下網(wǎng)絡(luò)犯罪趨勢(shì)。目前，GReAT 由 40 多名專家組成，他們?cè)跉W洲、俄羅斯、美洲、亞洲和中東等全球范圍內(nèi)工作。這些才華橫溢的安全專業(yè)人員為公司的反惡意軟件研究和創(chuàng)新發(fā)揮著領(lǐng)導(dǎo)作用，他們以無與倫比的專業(yè)知識(shí)、熱情和好奇心致力于發(fā)現(xiàn)和分析網(wǎng)絡(luò)威脅。

關(guān)于卡巴斯基

卡巴斯基是一家成立于1997年的全球網(wǎng)絡(luò)安全和數(shù)字隱私公司。迄今為止，卡巴斯基已保護(hù)超過十億臺(tái)設(shè)備免受新興網(wǎng)絡(luò)威脅和針對(duì)性攻擊。卡巴斯基不斷將深度威脅情報(bào)和安全技術(shù)轉(zhuǎn)化成創(chuàng)新的安全解決方案和服務(wù)，為全球的個(gè)人用戶、企業(yè)、關(guān)鍵基礎(chǔ)設(shè)施和政府提供安全保護(hù)。該公司全面的安全產(chǎn)品組合包括領(lǐng)先的個(gè)人設(shè)備數(shù)字生活保護(hù)、面向企業(yè)的專業(yè)安全產(chǎn)品和服務(wù)，以及用于對(duì)抗復(fù)雜且不斷演變的數(shù)字威脅的網(wǎng)絡(luò)免疫解決方案。我們?yōu)閿?shù)百萬個(gè)人用戶及近20萬企業(yè)客戶守護(hù)他們最珍視的數(shù)字資產(chǎn)。