專家發現部署在美國聯邦機構網絡上的后門

一個與國際權利相關的美國聯邦政府委員會已成為后門的目標，據報道該后門破壞了其內部網絡，研究人員將其描述為“經典的 APT 類型操作”。

捷克安全公司 Avast在一份聲明中說： “這次攻擊可以提供網絡的完全可見性和系統的完全控制，因此可以用作多階段攻擊的第一步，以更深入地滲透這個或其他網絡。”上周發布的報告。

聯邦實體的名稱未披露，但來自Ars Technica和The Record 的報告將其與美國國際宗教自由委員會 ( USCIRF )聯系在一起。Avast 表示，在嘗試直接將入侵通知該機構并通過美國政府設置的其他渠道未成功后，它正在公開其調查結果。

在這個階段，只發現了“攻擊謎題的一部分”，對于用于破壞網絡的初始訪問向量的性質，以及由行為者，以及妥協本身的整體影響。

眾所周知，攻擊分兩個階段進行，以部署兩個惡意二進制文件，第一個階段可能使身份不明的對手攔截互聯網流量并執行他們選擇的代碼，從而允許運營商完全控制受感染的系統。它通過濫用WinDivert（一種適用于 Windows 的合法數據包捕獲實用程序）來實現這一點。

有趣的是，不僅兩個樣本都偽裝成名為“ oci.dll ”的Oracle 庫，在攻擊期間部署的第二階段解密器被發現與趨勢科技研究人員在 2018 年詳細介紹的另一個可執行文件有相似之處，后者深入研究了信息盜竊被稱為“紅色簽名行動”的供應鏈攻擊針對的是韓國的組織。這些重疊導致 Avast 威脅情報小組懷疑攻擊者可以訪問后者的源代碼。

研究人員說：“假設發生了某種形式的數據收集和網絡流量泄露是合理的，但這是有根據的推測。” “也就是說，我們無法確定這次攻擊的規模和范圍超出了我們所看到的范圍。”