黑客們協(xié)同開發(fā)了外星人間諜(AlienSpy RAT)軟件，這是一種遠程連接工具，旨在一系列關鍵基礎設施上植入并傳播城堡(Citadel)銀行木馬。

[[131550]]

根據(jù)國防集團通用動力(General Dynamics)的下屬安全公司Fidelis報道，外星人間諜是基于Adwind、Unrecom和Frutas這些Java架構的遠程控制木馬開發(fā)的。Fidelis公司在本月8日發(fā)布的報告中表示，該惡意軟件通過偽造消息進行傳播，目前已經(jīng)在科技企業(yè)、金融服務企業(yè)、政府機構、能源設施中發(fā)現(xiàn)了該軟件。

Fidelis公司在報告中表示，他們相信該軟件通過統(tǒng)一軟件開發(fā)維護過程得以快速迭代，其功能集合正飛速擴展，包括對安卓的多平臺支持，另外，它的行為還顯示出其它RAT軟件并沒有的逃避技術。

外星人間諜同時支持Windows、Linux、Mac OS X和安卓平臺。它表現(xiàn)出了RAT軟件的傳統(tǒng)行為，比如收集系統(tǒng)數(shù)據(jù)、建立后門以上傳惡意程序(包括鍵盤記錄器)、提取泄露數(shù)據(jù)，另外，它還能控制攝像頭、監(jiān)聽設備麥克風、提供遠程桌面控制、竊取瀏覽器中的信用卡信息、訪問文件?？偟膩砜?，一共有12個外星人間諜插件分別提供了這些能力。

當今的版本還包括檢測自身是否運行在VMware或者甲骨文Virtual Box之類的虛擬機中的功能。其余的自保功能還有關閉殺毒軟件以及其它安全工具、使用TLS和幕后服務器進行加密通信。

使用傳輸加密是為了對軟件和幕后服務器的通信進行偽裝，這樣的技術使得網(wǎng)絡防御者很難在公司網(wǎng)絡中找到惡意流量。

Fidelis公司破解了外星人間諜的一個配置文件，其中包含該軟件可以欺騙的一大串商業(yè)以及開源安全軟件，其中包括抓包工具Wireshark。

Fidelis公司抓到的一個樣本會投放城堡銀行惡意軟件，它在過去被用于關鍵行業(yè)的入侵上。它會偽裝成歷史訂單、匯款到賬通知、支付信息，讓受害者上鉤，執(zhí)行惡意軟件。該惡意軟件還會被整合在外星人間諜構造中的Java混淆器Allatori所混淆。

這個樣本還曝光了幕后服務器的DNS信息(owoego[.]chickenkiller[.]com)，它使用9999端口進行后門通信、虛擬機檢測，以及收集Java包所在文件夾、名稱、后綴、注冊表項的信息。

Fidelis公司建議各公司在看到.jar后綴的文件時不要讓員工打開，而是先進行檢查。讓公司的關鍵人員打開可執(zhí)行的附件，可能存在安全風險。

原文地址：http://www.aqniu.com/tools/7274.html