Palo Alto Networks公司的 Unit 42威胁研究团队一直在利用一个名为“Comnie”的远程后门恶意软件家族来跟踪一系列的攻击事件,这个恶意软件家族针对的目标主要是来自东亚地区国家的组织。

Comnie最初是由安全公司Sophos命名的,属于一种自定义的恶意软件家族,用于有针对性的攻击,至少从2013年4月起就被观察到。它会利用在线博客和第三方服务获取命令和控制(C2)信息,并利用Github(面向开源及私有软件项目的托管平台)、Tumbler(全球最大的轻博客网站)和Blogspot(全球知名博客服务提供商Pyra Labs公司创建的博客网站)观察恶意软件的最近实例。

Comnie主要通过嵌入恶意宏的诱饵文件分发,文件的主题及内容表明,攻击者的主要目标包括通信行业、国防行业、政府机构以及高科技企业。

最近的一次攻击事件发生在2017年11月份,针对了位于韩国的航天航空与国防行业。 Unit 42更是确定,攻击事件同时也针对了中国台湾地区行政当局、一家位于台湾地区的大型通信公司和一家西藏广播电台的记者。

从2015年年中开始,Unit 42观察到了以各种主题命名的恶意宏文件,目的只在于一个,那就是分发Comnie。这些诱饵文件的主题及内容也很直观地表明了目标可能是谁。在2017年11月份监测到的一次攻击事件中,诱饵文件的信息表明,攻击最有可能发生在韩国航空航天和国防领域的企业身上。

以下诱饵内容仅在恶意宏被启用后才会显示给受害者,一份文件展示了韩国国际机场附属企业电话号码列表,另一份文件讨论了基于性能的通信和监视(PBCS)的状态。

不仅如此,早在2015年,Comnie还以类似的方式针对中国台湾地区发起了攻击。并且,根据文件名和内容,这些攻击持续到2017年仍在发生,目标包括台湾地区的通信、国防和高科技产业。

在启用恶意宏后,受害者将看到如下内容,一份文档讨论了台湾地区的国防工业发展战略,一份表格关于一家位于台湾地区的大型通信公司的网络防火墙配置描述及网络拓扑图。

值得注意的是,研究人员还在针对通信公司的诱饵文件中发现了相关的防火墙日志,这表明该公司的机密或许遭到了泄露。

此外,通过一封网络钓鱼电子邮件,Unit 42还认为,Comnie也被用于针对了西藏广播电台的记者。

Unit 42共观察到了Comnie的两个变种,不同之处在于如何获得它们的命令和控制(C2)信息。它们都使用RC4算法来混淆其使用的字符串以及网络通信,并会在受害者设备上查找多种安全产品(通常包括在韩国和台湾地区使用最广泛的安全产品,如趋势科技、卡巴斯基、赛门铁克、Avira公司的安全产品以及杀毒软件AVG、ALYac和ahnlab),以便根据安全产品的类型改变其行为。

Unit 42表示,Comnie并非是新出现的威胁,他们看到了攻击者对工具集的修改,但整体架构和操作仍然保持一致。由于它利用第三方在线服务来下载和解析C2信息,并且这些第三方在线服务通常都是合法的,因此这将允许Comnie规避环境中可能存在的一些安全预防措施。

目前,Unit 42已经将这些发现通知了Github、Tumbler和Blogspot。

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。