自2019年2月以來,從研究的“一系列惡意軟件樣本”中發現了一種新的惡意軟件,該惡意軟件被認為是由美國中央情報機構(CIA)開發的。
發現了惡意軟件的網絡安全公司卡巴斯基(Kaspersky)表示,它與過去的中央情報局惡意軟件有著相似之處,促使他們跟踪其活動,並將其賦予了代碼名稱為“紫色蘭伯特”(Purple Lambert)。
中央情報局的“紫色蘭伯特”發現:惡意軟件可以做什麼?
卡巴斯基4月27日發布了一份公寓趨勢報告,詳細介紹了網絡安全公司對第1季度2021年活動的觀察結果。
根據報告,卡巴斯基命名為紫色蘭伯特的惡意軟件包含一個被動地傾聽網絡流量並蒐索“魔術包”的網絡模塊。
中央情報局新發現的惡意軟件可以為代理商提供有關其感染系統的基本信息,並可以執行已收到的有效載荷。
卡巴斯基(Kaspersky)認為,該惡意軟件是在2014年之前彙編和部署的,並且可能一直部署到2015年。
惡意軟件的功能類似於以前的惡意軟件鏈接到2017年曝光的中央情報局文件。
Longhorn:中央情報局的網絡增強工具
WikiLeaks暴露了中央情報局的網絡黑客功能後,Symantec2017年4月出版了一個博客,講述了Longhorn的存在,同樣的惡意軟件Kaspersky稱為Lambert家族。
該報告說,朗霍恩(Longhorn)使用一系列後門木馬和零日脆弱性來滲入政府和國際運營的組織,包括自然資源,金融,電信和能源部門。
自2011年以來,Longhorn自2014年首次在2014年首次檢測到惡意軟件使用零日的漏洞利用(CVE-2014-4148),該漏洞附在了Microsoft Office文檔上,該文件旨在感染CIA目標。
CVE-2014-4148被剝削的Microsoft Windows TrueType字體(TTF)處理子系統易受嵌入和傳遞到預期目標的脆弱性。
由於TTF以內核模式而不是可執行文件處理,因此它可以使攻擊者無限制地訪問受感染系統。
這就是使專家認為Longhorn的原因可以從任何與互聯網連接的設備中監視組織或個人。
賽門鐵克還發現了證據表明,長角牛成功感染了亞洲,歐洲,非洲和中東16個國家的40個目標。
CIA的Longhorn據稱最近的網絡行為活動
卡巴斯基據報導,2018年3月在分析另一個涉及可疑鑰匙員的事件的同時確定了一個惡意圖書館。
卡巴斯基(Kaspersky)將其稱為“彈弓”的惡意加載程序可以與虛擬文件系統進行交互,並用惡意替代受感染的合法Windows庫scesrv.dll',使攻擊者係統的特權賦予了惡意。
2020年3月的快進,一家中國網絡安全公司Qihoo 360透露,它抓住了持續了十一年的中央情報局黑客組織犯下的網絡攻擊。
該報告聲稱,中央情報局針對多個行業,包括石油行業,科學研究機構,航空組織和政府機構。
Qihoo 360說,發現的惡意軟件可以追溯到2017年暴露的同一惡意軟件工具。
本文由技術時報擁有
由Leigh Mercer撰寫
