研究人员认为,Duqu黑客处于APT组织的食物链顶端,并且应当对证书颁发机构受攻击的事件负责,而且他们很有可能正在监视伊朗的核计划。
在卡巴斯基实验室的研究人员发现了他们公司自己的系统受到了攻击之后,他们发现了一系列由这个平台所发动的攻击, 他们将其称之为Duqu 2.0。卡巴斯基对该事件的调查结果显示,Duqu黑客进入了公司的一小部分系统,而且这些黑客对公司关于APT组织的研究,反APT技术,以及某些包括安全操作系统和卡巴斯基安全网络在内的卡巴斯基产品都非常的感兴趣。卡巴斯基公司在官方声明中说到:“尽管我们还没找到最初的感染源,但我们知道攻击者在这次攻击事件中利用了至少三个Windows的0day漏洞。”
公司称他们可以保证公司的最新技术以及产品都没有在此次事件中受到任何的影响。
今年春天,卡巴斯基的研究人员就发现了这种攻击,并且马上就注意到了这种攻击与2011年原始的Duqu攻击有着某些相似的地方。研究人员称:在最新发现的攻击中所使用的恶意软件看起来像是原始Duqu攻击平台的升级版本,而且它们所使用的命令和控制设备同样非常相似。但新版的恶意软件相比于之前的Duqu攻击平台要更加的高级,甚至该软件所使用的某些技术要比臭名昭著的Equation组织在今年年初公布的技术更加先进。Equation组织被认为是目前世界上能力最强的APT组织,而且他们对技术的研究时间将近有20年了。
研究人员表示:“Equation组织的攻击通常使用的是一种持续攻击的形式,但这样的攻击被发现的风险就会增大。Duqu 2.0恶意软件平台会感染系统的内存,而且不需要持续感染。这就意味着,黑客们有了一种可以保持目标主机的感染状态的方法,即便是目标主机重新启动或者恶意软件从内存中消失了,他们仍然能够控制目标主机。”“这个过程会更加的复杂。但这也展示了一种不同的心态:Duqu 2.0的攻击者对于创建和控制整个网络间谍行动是足够自信的。”
研究人员相信,Duqu 2.0攻击是国家级的攻击,而且与之捆绑的新型恶意软件和旧版本的Duqu攻击平台都是非常强大的。在两个平台中,有着大量的相似代码,并且它们都使用了同样的编程方法。一旦Duqu 2.0恶意软件安装在了一台新的计算机设备上,它便会寻找一个Windows漏洞并且利用这个0day漏洞来执行攻击。
卡巴斯基实验室的研究报告称:“在Duqu 2.0的攻击中,横向移动技术显示它利用了另一个编号为(CNNVD-201411-318)的0day漏洞,该漏洞于2014年11月被修复了。该漏洞允许域中未授权的用户将其账号提升为管理员账号。一旦攻击者获得了一个网域的管理员权限,它们便能够使用这些权限去感染域中其他的计算机。”
攻击者使用了两个不同的软件包来感染计算机,一个是小型的内存注入后门,另一个是一个大型的间谍活动平台。这个恶意软件的潜伏期很长,因为它没有典型的持久性机制。如果装有恶意软件的设备重启了,并且移除了Duqu 2.0攻击平台,攻击者同样能够进行攻击。
卡巴斯基实验室表示:“它们决定公开这种攻击的研究细节,因为无论这些攻击发生在何时何处,公司都有报告所有此类攻击的权利和义务。”
在卡巴斯基实验室的研究人员发现了他们公司自己的系统受到了攻击之后,他们发现了一系列由这个平台所发动的攻击, 他们将其称之为Duqu 2.0。卡巴斯基对该事件的调查结果显示,Duqu黑客进入了公司的一小部分系统,而且这些黑客对公司关于APT组织的研究,反APT技术,以及某些包括安全操作系统和卡巴斯基安全网络在内的卡巴斯基产品都非常的感兴趣。卡巴斯基公司在官方声明中说到:“尽管我们还没找到最初的感染源,但我们知道攻击者在这次攻击事件中利用了至少三个Windows的0day漏洞。”
公司称他们可以保证公司的最新技术以及产品都没有在此次事件中受到任何的影响。
今年春天,卡巴斯基的研究人员就发现了这种攻击,并且马上就注意到了这种攻击与2011年原始的Duqu攻击有着某些相似的地方。研究人员称:在最新发现的攻击中所使用的恶意软件看起来像是原始Duqu攻击平台的升级版本,而且它们所使用的命令和控制设备同样非常相似。但新版的恶意软件相比于之前的Duqu攻击平台要更加的高级,甚至该软件所使用的某些技术要比臭名昭著的Equation组织在今年年初公布的技术更加先进。Equation组织被认为是目前世界上能力最强的APT组织,而且他们对技术的研究时间将近有20年了。
研究人员表示:“Equation组织的攻击通常使用的是一种持续攻击的形式,但这样的攻击被发现的风险就会增大。Duqu 2.0恶意软件平台会感染系统的内存,而且不需要持续感染。这就意味着,黑客们有了一种可以保持目标主机的感染状态的方法,即便是目标主机重新启动或者恶意软件从内存中消失了,他们仍然能够控制目标主机。”“这个过程会更加的复杂。但这也展示了一种不同的心态:Duqu 2.0的攻击者对于创建和控制整个网络间谍行动是足够自信的。”
研究人员相信,Duqu 2.0攻击是国家级的攻击,而且与之捆绑的新型恶意软件和旧版本的Duqu攻击平台都是非常强大的。在两个平台中,有着大量的相似代码,并且它们都使用了同样的编程方法。一旦Duqu 2.0恶意软件安装在了一台新的计算机设备上,它便会寻找一个Windows漏洞并且利用这个0day漏洞来执行攻击。
卡巴斯基实验室的研究报告称:“在Duqu 2.0的攻击中,横向移动技术显示它利用了另一个编号为(CNNVD-201411-318)的0day漏洞,该漏洞于2014年11月被修复了。该漏洞允许域中未授权的用户将其账号提升为管理员账号。一旦攻击者获得了一个网域的管理员权限,它们便能够使用这些权限去感染域中其他的计算机。”
攻击者使用了两个不同的软件包来感染计算机,一个是小型的内存注入后门,另一个是一个大型的间谍活动平台。这个恶意软件的潜伏期很长,因为它没有典型的持久性机制。如果装有恶意软件的设备重启了,并且移除了Duqu 2.0攻击平台,攻击者同样能够进行攻击。
卡巴斯基实验室表示:“它们决定公开这种攻击的研究细节,因为无论这些攻击发生在何时何处,公司都有报告所有此类攻击的权利和义务。”
还没有评论,来说两句吧...