惡意軟件劫持麥克風監視烏克蘭企業、科學家和媒體

去年年底，烏克蘭還遭遇了一次停電，原因是2015年底，同一批黑客利用BlackEnergy惡意軟件攻擊烏克蘭電網，導致22.5萬居民斷電。

現在，來自威脅情報公司CyberX的安全研究人員發現了一種先進的基于惡意軟件的操作，這種操作已經占用了大量資源600千兆字節的數據來自大約70個受害者組織，包括關鍵基礎設施、新聞媒體和科學研究。

BugDrop行動：損失和作案手法

被稱為“BugDrop行動“大規模的惡意軟件攻擊是針對烏克蘭境內的目標進行的，盡管其他國家的目標包括俄羅斯、沙特阿拉伯和奧地利。

CyberX的研究人員沒有確認這個秘密黑客集體的身份，但表示BugDrop行動被認為是由擁有幾乎無限資源的高技能、政府支持的民族國家黑客發起的。

周三發布的CyberX博客文章寫道：“BugDrop行動是一項組織嚴密的行動，使用了復雜的惡意軟件，似乎得到了一個擁有大量資源的組織的支持”。

“尤其是，該操作需要一個龐大的后端基礎設施來存儲、解密和分析每天從其目標捕獲的數GB非結構化數據。還需要一個龐大的人力分析師團隊手動對捕獲的數據進行排序，并手動和/或使用分析等大數據對其進行處理”。

以下是惡意軟件的功能：

BugDrop行動使用復雜的惡意軟件，旨在滲透受害者的計算機，捕獲屏幕截圖、文檔和密碼，并打開電腦麥克風捕獲所有對話的錄音。

這個神秘的黑客組織通過網絡釣魚郵件發送的惡意Microsoft Word文檔感染受害者。一旦被感染，受損的電腦會將竊取的音頻和數據發送到Dropbox，黑客會在那里取回。

由于該惡意軟件使用PC麥克風對目標進行竊聽，然后將音頻和其他數據文件發送到Dropbox，研究人員將其命名為“惡意軟件行動BugDrop”。

以下是BugDrop的工作原理：

黑客通過包含Microsoft Office文件附件的網絡釣魚電子郵件傳播惡意軟件，其中包括嵌入其中的惡意宏。

一旦目標打開裝有惡意軟件的Word文檔，隱藏的惡意Visual Basic腳本就會在后臺的臨時文件夾中運行。

BugDrop的主要模塊將各種竊取數據的插件下載到受感染的機器上并執行它們。惡意軟件收集的所有被盜數據隨后都會上傳到Dropbox。

雖然BugDrop主要是用來錄制音頻文件的，但惡意軟件也可以從電腦瀏覽器中竊取文件、密碼和其他敏感數據。

避免被發現的技巧：

主要惡意軟件下載程序的檢測率較低，如下所示：

• 該惡意軟件使音頻數據看起來像合法的傳出流量。
• BugDrop對安裝的DLL進行加密，以避免被傳統的防病毒和沙盒系統檢測到。
• 該惡意軟件使用公共云服務Dropbox。

BugDrop也使用反射DLL（動態鏈接庫）注入，這是一種惡意軟件注入技術，也被烏克蘭電網攻擊中使用的BlackEnergy惡意軟件和Stuxnet攻擊伊朗核設施中使用的Duqu惡意軟件所利用。

反射DLL注入用于加載惡意代碼，并在不調用標準Windows API的情況下有效避開安全驗證過程。

BugDrop的目標：

該惡意軟件的目標是廣泛的行業，包括關鍵基礎設施、烏克蘭的研究中心和媒體組織。

據CyberX稱，BugDrop的主要目標是烏克蘭，但也被追蹤到俄羅斯、沙特阿拉伯和奧地利的其他地區。

迄今為止，CyberX研究人員確定的BugDrop行動目標包括：

• 為石油和天然氣管道基礎設施設計遠程監控系統的公司。
• 設計變電站、供水廠和輸氣管道的工程公司。
• 一個監控烏克蘭關鍵基礎設施的反恐、人權和網絡攻擊的國際組織。
• 科學研究所。
• 烏克蘭報紙的編輯。

CyberX在總結報告時表示，私營和公共部門組織都需要更加警惕地監控其網絡，并應用行為分析等更現代的技術來識別和快速應對這些日益復雜的網絡攻擊。