国外安全公司披露新型后门木马，称出自中国黑客组织Ke3chang之手

摘要：\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F1d963a8b54014aedbe0c83d75b067541\" img_width=\"1024\" img_height=\"549\" alt=\"国外安全公司披露新型后门木马，称出自中国黑客组织Ke3chang之手\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E恶意软件与Ke3chang的关联\u003C\u002Fh1\u003E\u003Cp\u003EESET的研究表明，在2015年以后检测到的Ketrican、Okrum和RoyalDNS后门与之前记录的Ke3chang活动存在关联，理由如下：\u003C\u002Fp\u003E\u003Cul\u003E\u003Cli\u003E2015年、2017年、2018年和2019年出现的Ketrican都是从Ke3chang活动中使用的恶意软件演变而来的。"\u003Cdiv\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F27dd21f7a0f54fa3a0ff05dd42e1bac9\" img_width=\"770\" img_height=\"513\" alt=\"国外安全公司披露新型后门木马，称出自中国黑客组织Ke3chang之手\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E近日，总部位于斯洛伐克的世界知名电脑安全软件公司ESET声称发现了一种此前从未被公开披露过的后门木马——Okrum，并认为它出自于黑客组织Ke3chang之手。

"\u003Cdiv\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F27dd21f7a0f54fa3a0ff05dd42e1bac9\" img_width=\"770\" img_height=\"513\" alt=\"国外安全公司披露新型后门木马，称出自中国黑客组织Ke3chang之手\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E近日，总部位于斯洛伐克的世界知名电脑安全软件公司ESET声称发现了一种此前从未被公开披露过的后门木马——Okrum，并认为它出自于黑客组织Ke3chang之手。\u003C\u002Fp\u003E\u003Cp\u003EKe3chang，也被称为APT15，是一个被指来自中国的黑客组织。据称，Ke3chang的活动最早可以追溯到2010年。美国网络安全公司FireEye曾在2013年发布的一份分析报告中指出，Ke3chang在2010年针对欧洲外交组织实施了网络间谍活动。\u003C\u002Fp\u003E\u003Cp\u003EESET在上周发布的一份报告中指出，该公司一直在追踪与Ke3chang有关的恶意攻击活动，并在2016年发现了一种与Ke3chang存在很强关联的后门木马，即Okrum。\u003C\u002Fp\u003E\u003Cp\u003E根据ESET的说法，他们是在2016年12月发现了Okrum，并在2017年发现它被用在了针对斯洛伐克、比利时、智利、危地马拉和巴西等国外交组织的网络间谍活动中。\u003C\u002Fp\u003E\u003Cp\u003E此外，ESET表示，他们在2015年到2019年期间还发现了多种与Ke3chang存在关联的恶意软件，这其中就包括了BS2005后门木马（在2013年被FireEye公开披露）和RoyalDNS后门木马（在2018年被NCC group在公开披露）。\u003C\u002Fp\u003E\u003Ch1\u003E在2015年到2019年登场的恶意软件\u003C\u002Fh1\u003E\u003Cp\u003E\u003Cstrong\u003E2015年：Ketrican\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E2015年，在针对欧洲国家（主要包括斯洛伐克、克罗地亚、捷克等）的恶意攻击活动中，ESET发现了后门木马。\u003C\u002Fp\u003E\u003Cp\u003E技术分析显示，它与BS2005以及网络安全公司Palo Alto Networks于2016年在一场针对印度大使馆的恶意攻击活动中发现的TidePool恶意软件家族存在很强的关联。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E2016-2017年：Okrum\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E2016年12月，ESET发现了一种全新的、此前从未被公开披露过的后门木马，并将其命名为“Okrum”。\u003C\u002Fp\u003E\u003Cp\u003EOkrum在当时被用来攻击了位于斯洛伐克境内的目标，而这些目标与Ketrican在2015年的攻击目标完全相同。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E2017年：Ketrican和RoyalDNS\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E在2017年，Ketrican出现了一个新版本，并通过Okrum下载到受感染设备上。于是，Okrum与Ketrican之间的关联更加明确。\u003C\u002Fp\u003E\u003Cp\u003E同一年，RoyalDNS的一个新版本开始被用来攻击此前已感染了Okrum的目标设备。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E2018年：Ketrican\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E2018年，ESET发现了Ketrican的另一个新版本，主要涉及到代码的优化。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003E2019年：Ketrican\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E2019年，Ke3chang继续活跃。在2019年3月，ESET再次发现了Ketrican的一个新版本，它是从2018年的Ketrican进化而来的。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F1d963a8b54014aedbe0c83d75b067541\" img_width=\"1024\" img_height=\"549\" alt=\"国外安全公司披露新型后门木马，称出自中国黑客组织Ke3chang之手\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E恶意软件与Ke3chang的关联\u003C\u002Fh1\u003E\u003Cp\u003EESET的研究表明，在2015年以后检测到的Ketrican、Okrum和RoyalDNS后门与之前记录的Ke3chang活动存在关联，理由如下：\u003C\u002Fp\u003E\u003Cul\u003E\u003Cli\u003E2015年、2017年、2018年和2019年出现的Ketrican都是从Ke3chang活动中使用的恶意软件演变而来的；\u003C\u002Fli\u003E\u003Cli\u003EESET在2017年检测到的RoyalDNS与之前被公开披露的RoyalDNS类似；\u003C\u002Fli\u003E\u003Cli\u003EOkrum与Ketrican的关联十分明确，因为Okrum曾在2017年被用于下载Ketrican；\u003C\u002Fli\u003E\u003Cli\u003EOkrum、Ketrican和RoyalDNS的攻击目标都是同一类型的组织，被Okrum感染的一些组织也感染了Ketrican和RoyalDNS；\u003C\u002Fli\u003E\u003Cli\u003EOkrum的运行方式与之前记录的Ke3chang相似——配备了一组基本的后门命令，并且依靠手动输入shell命令和执行外部工具来完成大部分恶意活动。\u003C\u002Fli\u003E\u003C\u002Ful\u003E\u003Ch1\u003EOkrum后门木马分析\u003C\u002Fh1\u003E\u003Cp\u003E如上所述，Okrum曾被用来攻击斯洛伐克、比利时、智利、危地马拉和巴西等国的外交组织，攻击者尤其对斯洛伐克感兴趣。\u003C\u002Fp\u003E\u003Cp\u003E通过注册看似合法的域名，攻击者试图将其命令和控制（C&C服务器）的恶意流量隐藏在合法的网络流量中。例如，被用于感染斯洛伐克目标的Okrum就使用了模仿斯洛伐克地图门户的域名（support.slovakmaps[.]com）来进行通信。\u003C\u002Fp\u003E\u003Cp\u003EOkrum是一个动态链接库（DLL），由两个事前被安插在受感染设备上的组件安装和加载。每隔几个月，攻击者就会更换这两个组件，以避免被检测出来。\u003C\u002Fp\u003E\u003Cp\u003EOkrum的有效载荷隐藏在一个PNG文件中。打开这个文件，用户只会看到一个正常的图像，但Okrum能够定位用户看不到的额外加密文件。这就是所谓的“隐写术”，能够确保恶意软件不被注意以及逃避杀毒软件的检测。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F013773e8c31e4b12be0f8427c0bb66d0\" img_width=\"1024\" img_height=\"336\" alt=\"国外安全公司披露新型后门木马，称出自中国黑客组织Ke3chang之手\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E在功能上，Okrum只配备了基本的后门命令，例如下载和上传文件、以及执行文件和shell命令。此外，大多数恶意操作都必须通过手动输入shell命令或借助其他工具和软件来执行，而这正是Ke3chang组织惯用的技术手段。\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E"'.slice(6, -6), groupId: '6717137661737304584

国外安全公司披露新型后门木马，称出自中国黑客组织Ke3chang之手

热门新闻

周热门

国外安全公司披露新型后门木马，称出自中国黑客组织Ke3chang之手

进口纱：大厂报价再回落 贸易商无奈选择“躺平”

消息称现代汽车印度子公司拟IPO融资约25亿美元

联合健康(UNH.US)将负责通知2月网络攻击数据泄露受害者

华为开发者大会召开在即，鸿蒙概念多股走高，智微智能涨停

光大期货软商品类日报6.14

光大期货软商品类日报6.11

威慑！军演！北约与俄“核斗法”释放什么信号？

利空突袭，跳水！

扬电科技（301012.SZ）：公司出口欧洲的是节能硅钢变压器 国外业务毛利率高于国内

德国会仿效法国提前选举吗？冯德莱恩会否连任欧委会主席？

欧洲主要指数收跌 法国CAC40指数跌1.33%

Advantrade爱跟投:欧洲的天然气转变

“老债王”格罗斯：欧洲债券正变得更具吸引力

欧洲巨震！法国股市领跌欧股，马克龙解散国民议会！北方多地高温！

格罗斯：欧洲债券正变得越来越有吸引力

热门新闻

周热门

进口纱：大厂报价再回落贸易商无奈选择“躺平”

扬电科技（301012.SZ）：公司出口欧洲的是节能硅钢变压器国外业务毛利率高于国内

欧洲主要指数收跌法国CAC40指数跌1.33%