Adwind 是一種跨平臺、多功能的惡意軟件程序,它還附帶有 AlienSpy 、Frutas 、 Unrecom 、 Sockrat 、 JSocket 、 jRat ,所有這些惡意軟件都是通過同一個惡意軟件即服務(wù)平臺進(jìn)行傳播的。
調(diào)查結(jié)果顯示,2013年至2016年之間,Adwind 惡意軟件的多個版本被用于攻擊至少全球44萬余個目標(biāo),包括個人用戶、盈利及非盈利性組織。目前,該平臺及相關(guān)惡意軟件仍在活躍中。
惡意軟件即服務(wù)(Malware-as-a-Service)
2015年末,卡巴斯基實驗室的研究人員注意到一種特別的惡意軟件程序。他們是在該程序?qū)π录悠履臣毅y行發(fā)動攻擊時發(fā)現(xiàn)它的。釣魚郵件中附帶了一種惡意的 JAR 文件,攻擊者將其發(fā)送給了該銀行的員工。這種惡意軟件功能很多,包括多平臺攻擊、回避反病毒軟件等,這立即引起了研究人員的注意。
結(jié)果顯示,這些機(jī)構(gòu)受到了 Adwind 遠(yuǎn)程控制工具的攻擊,它是一種公開出售的后門程序,全部由 Java 寫成,這也給它帶來了跨平臺的能力。它可以控制 Windows 、 OS X 、 Linux 、 安卓平臺,打開遠(yuǎn)程控制功能,收集并竊取數(shù)據(jù)。
如果目標(biāo)用戶打開了 JAR 附件,惡意軟件將自動安裝并試圖與幕后控制服務(wù)器進(jìn)行通訊。其擁有以下功能:
鍵盤記錄
密碼記錄,從在線論壇上獲取數(shù)據(jù)
屏幕截圖
拍照片,通過攝像頭錄像
通過麥克風(fēng)錄音
傳輸文件
獲得系統(tǒng)和用戶信息
竊取加密貨幣錢包密鑰
管理安卓平臺短信
竊取 VPN 證書
不僅只有想碰運氣的黑客在大規(guī)模詐騙活動中使用 Adwind ,它還被用來進(jìn)行針對性攻擊。
2015年8月,有新聞報道稱 Adwind 與針對阿根廷某檢察官的某次網(wǎng)絡(luò)間諜行動有關(guān),涉事檢察官則早在2015年1月自殺身亡。針對新加坡某銀行的事件屬于另一次針對性攻擊。如果仔細(xì)考察與 Adwind 遠(yuǎn)程控制工具有關(guān)的安全事件,就會發(fā)現(xiàn)這些針對性攻擊不是個案。
針對性攻擊目標(biāo)
卡巴斯基實驗室的研究人員在調(diào)查期間設(shè)法分析了200份與 Adwind 惡意軟件有關(guān)的釣魚攻擊,他們發(fā)現(xiàn)最容易遭到攻擊的產(chǎn)業(yè)如下:
制造業(yè)
金融
工程
設(shè)計
零售
政府
物流
通訊
軟件
教育
食品
醫(yī)療
媒體
能源
卡巴斯基安全網(wǎng)絡(luò)(Kaspersky Security Network)給出的數(shù)據(jù)表明,在2015年8月到2016年1月這半年期間觀察到的200次與 Adwind 遠(yuǎn)程控制工具有關(guān)的釣魚攻擊影響了全球超過68萬名用戶。
上圖是排名前10的Adwind惡意軟件即服務(wù)平臺的攻擊目標(biāo)分布情況,包括地理位置及所屬行業(yè)。
卡巴斯基安全網(wǎng)絡(luò)對受害者數(shù)據(jù)進(jìn)行的地理歸納顯示,近半數(shù)人生活在以下10個國家:阿聯(lián)酋、德國、印度、美國、意大利、俄羅斯、越南、香港、土耳其、臺灣。
Adwind惡意軟件的發(fā)展簡史
卡巴斯基研究人員通過研究受害者檔案,發(fā)現(xiàn) Adwind 平臺的買家可以分為以下幾類:想要使用更先進(jìn)工具的騙子、惡意競爭者、黑客雇傭兵以及想要監(jiān)控身邊朋友的個人。
威脅即服務(wù)(Threat-as-a-Service)
Adwind 遠(yuǎn)程控制軟件和其它商業(yè)性惡意軟件有一個很大的不同:它是作為服務(wù)開放給購買者的,使用者僅對使用軟件付費??ò退够鶎嶒炇业难芯咳藛T通過研究用戶活動和內(nèi)部聊天室估計,2015年底全世界大約有1800個 Adwind 的使用者。這使它成為了迄今為止最大的惡意軟件平臺。
卡巴斯基實驗室首席安全專家亞歷山德·古斯特夫(Aleksandr Gostev)表示:“Adwind 平臺大大降低了網(wǎng)絡(luò)犯罪的專業(yè)知識成本,這使得大量潛在的網(wǎng)絡(luò)罪犯能夠?qū)⑵淠繕?biāo)變成現(xiàn)實。根據(jù)目前對新加坡攻擊的分析,我們認(rèn)為此事件背后的黑客遠(yuǎn)非專業(yè)人士。此外,大多數(shù) Adwind 平臺的用戶應(yīng)當(dāng)都屬于這種計算機(jī)水平。這種趨勢讓人擔(dān)憂。”
卡巴斯基實驗室全球研究與分析團(tuán)隊負(fù)責(zé)人維塔利·卡姆洛克(Vitaly Kamluk)說:“盡管安全廠商近年來發(fā)布了很多關(guān)于此工具各個版本的報告,這一平臺仍舊活躍,并助長了各式各樣的犯罪行為。我們進(jìn)行此項研究的目的是吸引信息安全圈子和執(zhí)法機(jī)構(gòu)的注意,以徹底搗毀該工具。”
卡巴斯基已將此次研究的成果上報給執(zhí)法機(jī)構(gòu)。
卡巴斯基實驗室建議企業(yè)重新考量部署 Java 平臺的必要性,并將其對所有非授權(quán)來源禁用。