当前位置:安全资讯 >> 全文

间谍软件厂商 Hacking Team 被曝推出新产品

发布时间:2018-3-13 13:56 标签: 间谍软件,企业
分享到 0

ESET 公司警告称检测到Hacking Team 远程控制系统旗舰间谍软件新样本,它们和之前观察到的变体稍有不同。

Hacking Team 是一家成立于2003年的意大利间谍软件供应商,因向全球政府出售监控工具而出名。2015年,该公司被黑,其400 GB 的内部数据被泄露到网上,其中包括客户、内部通信和间谍软件源代码信息。

这起事件不仅导致 Hacking Team 的活动遭暴露、强迫该公司要求客户停止使用所有的远程监控系统,而且还导致其他组织利用被泄源代码和利用代码实施恶意攻击。

被泄事件发生后接受神秘公司投资

公司数据遭泄露后,Hacking Team 面临着不确定的未来,不过仅在半年之后它就被指又开始行动,当时该公司推出一个 Mac 监控软件的新样本。同时,该公司还接收到总部位于塞浦路斯但似乎和沙特阿拉伯之间存在关联的 Tablem Limited 公司的投资。

Hacking Team 公司的顶级产品远程控制系统工具,囊括了后门的所有功能:它能够从目标设备中提取文件、拦截邮件和即时通信信息以及远程启动网络摄像头和麦克风。

头号间谍软件新样本或由原班人马打造

ESET 公司表示,最新发现的远程控制系统样本是在20159月和201710月之间编译的,是由某个组织而非由多个组织从被泄源代码中构建的。另外,这些样本已受此前未见过的有效数字证书签名,该证书是由 Thawte 向一家名为 Ziber Ltd. 的公司发布的。

新变体包括伪造 Manifest 元数据从而伪装成一款合法应用,其作者使用 VMProtect 以增加检测逃避功能。ESET 公司表示该功能“在此前遭泄露的 Hacking Team 间谍软件中很常见”。

这说明,这些样本可能是由 Hacking Team 公司的开发人员自己构建的,包括版本控制也是继承了被泄事件发生前的控制号,并且也遵循同样的模式。ESET 公司还发现被泄事件后退出的更新和 Hacking Team 的编码风格一致,而且代码之前存在很强的熟悉感。

ESET 公司表示,这表明正是 Hacking Team 公司的开发人员而非他人通过被泄源代码创建新版本后在这些地方做出更改。

新样本功能几乎未添新功能

这款间谍软件的功能和以前软件一样,迄今为止并未发布重大更新,尽管上次泄露事件后 Hacking Team 表示将推出一个新的解决方案。在两个不同的案例中,研究人员发现传播向量是已给伪装成 PDF 文档并经由鱼叉式钓鱼邮件发送给受害者的一个 PDF 文档。

ESET 公司表示,“我们很肯定地表示,除了一个例外外,我们所分析的被泄事件后的样本均出自 Hacking Team 开发人员之手,而非其它不相关人员。这和2016年的 Callisto 组织的情况不同。”

ESET 公司声称,这些新样本已在14个国家中得到检测,不过该公司并不打算披露这些国家具体是哪些。另外,ESET 公司还隐藏了它发现的其它新内容,以防对未来继续追踪 Hacking Team 公司造成干扰。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.securityweek.com/new-hacking-team-spyware-samples-detected-eset
参与讨论,请先 登录 | 注册

用户评论