网络安全研究人员发现包含恶意间谍软件的VPN针对该地区的宗教少数群体

雅加达 - 2022 年第三季度,卡巴斯基研究人员发现了一个名为 SandStrike 的 Android 间谍活动。威胁行为者通过部署包含高度复杂的间谍软件的 VPN 应用程序,以讲波斯语的宗教少数群体巴哈伊为目标。 

卡巴斯基表示,为了引诱受害者下载间谍软件植入物,威胁行为者创建了拥有1000多名粉丝的Facebook和Instagram帐户,并设计了有趣的宗教主题图形材料,为这种信仰的信徒创造了有效的陷阱。 

“在他们的攻击中,他们使用了一种聪明而出乎意料的方法:SandStrike,通过VPN服务攻击用户,它被用作保护和安全,就是一个很好的例子,”卡巴斯基GReAT(全球研究与分析团队)首席安全研究员Victor Chebyshev在雅加达收到的一份声明中表示。

稍后在这个频道上,SandStrike 背后的参与者分发基于其自己的基础设施构建的 VPN 应用程序,这些应用程序的创建方式对于访问某些地区被禁止的网站(例如与宗教相关的材料)似乎无害。 

然后,充满间谍软件的VPN允许犯罪者收集和窃取敏感数据,包括通话记录,联系人列表,并跟踪目标个人的进一步活动。

在整个 2022 年第三季度,APT 参与者继续改变策略、磨练设备并开发新技术。最重要的发现包括:

针对电信公司、ISP 和大学的全新高级恶意软件平台

卡巴斯基研究人员分析了一种前所未见的高级恶意软件平台Metatron。美塔特隆主要针对中东和非洲国家的电信、互联网服务提供商和大学。美塔特龙旨在绕过本机安全解决方案,同时将恶意软件平台直接传播到内存中。  

升级的高级工具,具有惊人的功能

卡巴斯基专家观察到Lazarus使用针对韩国受害者的DeathNote集群。犯罪者可能使用了战略性网络入侵,使用类似于卡巴斯基研究人员先前报告的感染链,即攻击端点安全程序。但是,专家发现恶意软件和感染方案也已更新。 

该参与者使用以前从未见过的恶意软件,从 C2 服务器执行命令的功能很少。使用这种植入的后门,操作员在受害者的附近隐藏一个月并收集系统信息。

网络间谍活动仍然是APT活动的关键目标

在 2022 年第三季度,卡巴斯基研究人员发现了许多 APT 活动,其主要目标是政府机构。卡巴斯基最近的一项调查显示,今年从2月开始,HotCousin一直试图瞄准欧洲、亚洲、非洲和南美洲的外交部。