【国际资讯】发现一款用于APT攻击，类似FinFisher的间谍软件

翻译：WisFree

预估稿费：140RMB（不服你也来投稿啊！）

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

前言

近期，来自微软公司的安全研究专家发现了两个APT组织，这两个组织目前正在利用0day漏洞来对欧洲和土耳其的某些特定用户进行非法监控。根据安全研究人员透露的信息，这两个APT组织很有可能是某些国家级的黑客组织。

微软公司将这两个组织取名为Promethium和Neodymium，据了解，这两个组织从2012年开始就已经活跃于欧洲地区了。安全研究专家之所以会将这两个APT组织联系在一起，是因为他们在各自的攻击活动中使用了相同的漏洞利用代码。

发现间谍软件

Neodymium在对目标用户进行监控的过程中使用了W32/Wingbird.A!dha后门。微软的安全研究专家们在经过研究之后发现，这款恶意软件身上的很多特性与政府间谍软件FinFisher有非常多的相似之处。因此，安全研究专家认为Wingbird后门相当于是新版的FinFisher。

FinFisher间谍软件由间谍软件公司Gamma负责设计和开发，并在2014年的一次黑客攻击中泄漏了出来。这款恶意软件能够远程监视目标用户并拦截用户的通信数据，该工具支持OS X、Windows、 Linux、Android、iOS、BlackBerry、Symbian和Windows Mobile等多种操作系统。根据加拿大公民实验室的报告，曾经有多个国家的政府使用过这个间谍软件来监视记者、活动人士和政治异议人士。

根据维基解密透露的信息：“FinFisher是一家德国公司，该公司属于英国Gamma国际集团的下属公司，该项目大概在2013年末的时候被单独分拆了出来。FinFisher公司生产并销售计算机入侵工具，除此之外，他们还会挖掘各种软件漏洞。FinFisher第一次引起公众的关注是在2011年的12月份，当时维基解密网站首次发布了关于SpyFiles的解密文件，其中就详细描述了FinFisher的各种产品和业务。”

微软公司在今年上半年（一月至六月）的安全情报报告中写到：“根据这两个APT组织在进行网络钓鱼攻击的过程中所使用的漏洞利用代码以及恶意软件，我们可以认定这两个APT组织与某些国家级的黑客组织有联系。”

32位和64位版本的Wingbird后门都会检测ico_sf46.ico文件是否存在，而这个文件就是FinFisher间谍软件的其中一个重要组件。

当这款恶意软件成功感染了目标计算机之后，它会记录用户的键盘使用信息并进行屏幕截图。需要注意的是，很多专制政府之前一直在使用这款间谍软件来打压世界各地的民主人士和支持公民自由的各种活动参与者。

Promethium和Neodymium的目标用户

根据维基解密在2014年泄漏的文件，新南威尔士的执法部门曾经就是FinFisher的授权用户。除此之外，FinFisher的客户名单中还包括巴基斯坦、爱沙尼亚、以及意大利等国家政府。

在部署这款间谍软件的过程中，Promethium和Neodymium都使用了例如CVE-2016-4117（Adobe Flash）这样的0day漏洞。攻击者将针对Adobe Flash的漏洞利用代码编码在一个恶意文件中，并将这个恶意文件伪装成一个富文本（RTF）文档，然后再通过钓鱼邮件的形式发送给目标用户。当用户打开了这个恶意文档之后，附件会在目标用户的计算机中下载并运行Wingbird。

根据微软研究员所透露的信息，他们所分析的Wingbird版本进行了源代码级别的代码混淆处理，这也使得他们更加难以对恶意软件的行为进行深入分析，而且这也让它更加容易绕过安全保护工具的检测。除此之外，它还能够从一个Windows进程向另一个进程中注入恶意代码，并以此来隐藏需要执行的恶意payload，这样可以进一步增加Wingbird的检测难度。

微软表示，Promethium还在他们的攻击活动中使用了Truvasys恶意软件，这款恶意软件可以伪装成类似WinUtils、TrueCrypt、WinRAR和SanDisk这样的Windows工具。这个APT组织在不同的攻击活动中会向目标用户发送不同版本的Truvasys恶意软件，这也就意味着Promethium很可能与这款恶意软件的开发人员有着密切的联系。

根据安全研究专家的分析，Truvasys主要针对的是土耳其用户。攻击者一般会在网络钓鱼攻击和水坑攻击中使用这款恶意软件，他们会在合法的应用程序中嵌入这款恶意软件，并以此来欺骗用户运行安装程序。

但是，微软并没有明确地说出这些攻击活动背后真正的始作俑者到底是谁。除此之外，他们也没有提供Promethium和Neodymium目标用户的详细信息。