2013年8月26日 星期一

研究:曾讓RSA灰頭土臉的Poison Ivy間諜軟體再現蹤跡

研究:曾讓RSA灰頭土臉的Poison Ivy間諜軟體再現蹤跡

根據最新安全研究指出,以攻擊安全方案商RSA出名的Poison Ivy遠端存取木馬程式(RAT),被發現仍活得好好的。


在安全方案商FireEye的全新安全報告中,特別強調3個進階持續威脅(Advanced Persistent Threat, APT)團體的惡意活動,這些駭客團體從2012年開始,便透過該惡意程式,對全球各地的組織發動超過70起的惡意攻擊事件。

FireEye威脅情報經理Darien Kindlund,於週四貼文談論有關透過Poison Ivy來發動的持續間諜攻擊活動,他並解釋何以該免費間諜軟體工具,能在精緻的惡意軟體市場持續活躍的原因。

Poison Ivy最早出現於2005年,2011年特別被運用在知名的「Nitro」攻擊活動中,該活動專門竊取美國及其他國家內許多化學公司的智慧財產。同年,該惡意程式也被駭客用於入侵安全公司RSA的攻擊中,並竊得該公司旗下SecurID產品線的相關資訊。

根據Kindlund表示,Poison Ivy具備擊鍵記錄(Keylogging)、螢幕及影像擷取,以及檔案傳輸能力,其雖然是隻普通的惡意程式,但卻能發揮重大的攻擊效益。

Kindlund並指出:「由於採用相當普遍的遠端存取工具,所以更難知道攻擊者到底是誰。」

正由於使用在APT攻擊情境中的RAT遠端存取木馬很難被判定,為此FireEye特別發布一個稱之為「Calamine」的免費工具包,以協助企業在面對Poison Ivy攻擊時,能加以有效偵測。

資料來源:SCMAGAZINE
轉載自《網路資訊雜誌》