带后门的TrueCrypt:间谍活动“Potao”新发现

ESET发布了一份报告显示,代号“Potao行动”的网络间谍活动依赖于挂马TrueCrypt俄语版的软件传播。

Potao行动

近期,ESET发表了一个有意思的报告——关于带后门的TrueCrypt俄语版软件扩散,而该软件被用于针对网络间谍活动 “Potao行动”中。

专家解释,“Potao行动”主要针对的是乌克兰及其周边国家,包括俄罗斯、格鲁吉亚、白俄罗斯。

带后门的TrueCrypt:间谍活动“Potao”新发现

受害者名单中包括乌克兰政府和军方,以及一家乌克兰主流新闻机构。

带后门的TrueCrypt:间谍活动“Potao”新发现

FreeBuf百科

TrueCrypt是一款用于动态加密(OTFE)的免费开源软件。它可以在一个文件中创建一个虚拟的加密磁盘或加密一个分区或整个存储设备。

而在2014年早些时候,这款流行加密工具TrueCrypt背后的匿名开发者突然宣布项目终止开发,并警告使用TrueCrypt不安全,软件可能包含未修正的安全问题。

并非人人中枪

研究者发现,至少从2012年6月开始,俄罗斯TrueCrypt网站truecrypt.ru被用于向游客提供恶意软件。通过分析恶意软件附设的时间戳,二进制文件时间为2012年4月。

使用Win32/Potao恶意软件家族进行攻击长达5年,测得首次攻击的时间则可以追溯至2011年。而目前攻击者仍然保持非常活跃的状态,近期仍有频繁渗透尝试。

有趣的是,并不是每一个进入俄语网站下载TrueCrypt的访问者都会感染此恶意软件,至于筛选的标准目前尚未查明。

报告中显示,

“并不是每个从俄语网站下载的TrueCrypt软件都是恶意的或带有后门。恶意软件版本只针对特定的游客,而这基于的具体标准目前无从知晓。这无疑为‘行动是由一个专业组织发起并有目的地选择目标’提供了新的证据。”

带后门的TrueCrypt:间谍活动“Potao”新发现

除了为TrueCrypt(目前发现的版本为Win32/Fake TC)挂马服务,该域同样也被用作C&C(智慧与控制)服务器,向植入后门的电脑发送指令。

专家解释,用于Potao行动的恶意软件并没有依赖任何exp或运用特别先进的技术。恶意代码中确实含有一些可以用于潜伏的有趣特性,包括一个可以通过USB设备传播及伪装成Word和Excel可执行文件的传播机制。

完整技术报告

你可以在这里阅读完整的技术报告,同时白皮书中的IOC(妥协指标)可以用来识别危险代理,github中也有。

*参考来源:SA,转载请注明来自Freebuf.COM(黑客与极客)

发表评论