网络安全公司Palo Alto Networks旗下Unit 42云计算威胁情报团队的网安研究人员发现新的恶意软件样本,该恶意软件能够轻松躲过当前市场50多款主流杀毒产品的侦测。有鉴于该恶意软件设计上的品质,以及其在受害者端点设备之间的散播速度,网安研究人员深信该攻击出自国家赞助黑客之手。
事实上,网安研究人员早在今年5月便已首度侦测到该恶意软件株,并发现黑客特别使用Brute Ratel C4(BRC4)渗透测试工具打造而成。日前,万豪酒店集团(Marriott International)旗下饭店便遭到俄罗斯黑客组织APT29运用BRC4工具入侵,导致20 GB的机密敏感资料外泄。根据BRC4开发人员表示,由于他们曾对当前流行杀毒产品进行逆向工程破解,所以能轻松规避这些产品的侦测。
这只全新恶意软件很特别地采用ISO镜像文件的形式来传播,该ISO档会假冒成某人(名叫Roshan Bandara)的简历文件,内置黑客用BRC4工具创建的恶意封包负载,一旦将ISO档挂载到虚拟磁盘上,就会显示类似微软Word文件的内容。
由于APT29组织(别名Cozy Bear组织)特别爱用BRC4工具,而过去也有使用过武器化ISO档的“前科”,所以研究人员有理由怀疑这次新恶意软件背后的主谋就是APT29组织。
可以预见的是,BRC4将会成为今后黑客组织爱用的利器,所以Unit 42安全研究人员建议,当务之急莫过于所有安全方案供应商都必须创建具备侦测BRC4所制恶意软件能力的安全防护机制,所有组织也要采取防御该恶意工具的主动防护措施。
(首图来源:Pixabay)