偷偷摸摸的后门曾经监视整个欧洲的外交官

一个新的,先进的后门特洛伊木马程序已被用来监视整个东南欧和前苏联共和国的使领馆的目标。

ESET 研究人员已经分析并记录了他们称为Gazer的特洛伊木马,并对Turla网络间谍组织正在使用该木马充满信心。

间谍外交官欧洲

Gazer后门和与Turla的关系

研究人员分析了不同的Gazer样本,并确定了四种版本的恶意软件。其中一些样本已使用合法证书签名。

Gazer与Turla APT使用的其他恶意软件(Carbon,Kazuar)具有多个相似之处:它可以从C语言接收加密的任务&C服务器使用加密的容器存储其组件和配置,并将其操作记录到加密的日志文件中。

该恶意软件自2016年以来一直在使用,它被用于针对大使馆和领事馆的针对性攻击(Turla’是通常的目标),但这是第一次记录了该恶意软件。

Gazer在安全下飞去’的行业雷达已有一段时间了。部分原因是作者使用了自定义加密(他们自己的3DES和RSA库)。

“与往常一样,Turla APT小组会通过安全擦除文件,更改字符串并通过不同的后门版本将可能是简单标记的内容随机分配来避免检测。在我们发现的最新版本中,Gazer作者修改了大多数字符串并插入‘video-game-related’整个代码中的句子” they noted.

“见证的技术,战术和程序(TTP)与我们通常在Turla的操作中看到的一致:第一阶段的后门(例如船长)可能是通过鱼叉状交付的,然后出现在第二阶段的后门的受害系统中, Gazer在这种情况下。”

他们有 提供 技术细节,危害指标和Yara规则,可用于标记威胁的已知变体。

分享这个