研究人員發(fā)現(xiàn)了一場新型的網(wǎng)絡(luò)間諜活動(dòng)，它依賴于大量遠(yuǎn)程訪問木馬(Remote Access Trojan，RAT)，包括新型強(qiáng)大的Trochilus(蜂鳥)木馬，該木馬背后的攻擊者主要使用了惡意郵件作為攻擊向量，郵件中包含了一個(gè).RAR附件的惡意軟件，并且它能夠躲避沙箱分析。

利用多種木馬的間諜活動(dòng)Seven Pointed Dagger

近期，Arbor網(wǎng)絡(luò)(Arbor Networks)的專家們發(fā)現(xiàn)了一場新的網(wǎng)絡(luò)間諜活動(dòng)，該活動(dòng)名為七尖匕首(Seven Pointed Dagger)，由一個(gè)名為“Group 27”的組織操縱。活動(dòng)中使用了多種惡意軟件，包括PlugX和9002遠(yuǎn)程訪問木馬(3102變種)。此外，他們還發(fā)現(xiàn)了一種名為Trochilus的新型遠(yuǎn)程訪問木馬，它能夠躲避沙箱分析。報(bào)告中描述道：

“具體來說，我們發(fā)現(xiàn)在六個(gè)RAR文件中包括兩個(gè)PlugX程序?qū)嵗⒁粋€(gè)EvilGrab、一個(gè)未知惡意軟件、兩個(gè)名為Trochilus遠(yuǎn)程訪問木馬的APT惡意軟件實(shí)例，加上一個(gè)9002遠(yuǎn)程訪問木馬的3012變種實(shí)例。這七個(gè)惡意軟件實(shí)例能夠提供多種功能，包括間諜活動(dòng)，以及為了訪問更多策略而進(jìn)行的目標(biāo)內(nèi)部輔助偵查的手段。”

在多次有針對(duì)性的網(wǎng)絡(luò)間諜攻擊活動(dòng)中，都出現(xiàn)了該木馬的蹤跡。2015年中間，Arbor Networks的專家們首先發(fā)現(xiàn)了Group 27組織活動(dòng)的痕跡，但Trochilus僅僅在2015年10月份在網(wǎng)絡(luò)上活躍，當(dāng)時(shí)網(wǎng)絡(luò)罪犯使用它感染一個(gè)緬甸網(wǎng)站的訪問者。這些網(wǎng)絡(luò)罪犯們?nèi)肭至司挼槁?lián)邦選舉委員會(huì)(UEC)的網(wǎng)站，從而專家們相信網(wǎng)絡(luò)威脅者仍舊在監(jiān)視這個(gè)國家的政治發(fā)展。

Trochilus木馬功能

專家們獲得了這些惡意軟件的源頭，包括一個(gè)README文件，里面詳細(xì)列舉了遠(yuǎn)程訪問木馬的基本功能。其功能包括：shellcode擴(kuò)展、遠(yuǎn)程卸載、文件管理、下載并執(zhí)行、上傳并執(zhí)行，以及訪問系統(tǒng)信息。Arbor Networks的官方人員說，這些惡意軟件還具有“為了達(dá)到更具戰(zhàn)略性的訪問，能夠進(jìn)行目標(biāo)內(nèi)部漫游”的功能。這款惡意軟件看起來很狡猾，它能夠在受感染的系統(tǒng)內(nèi)部漫游，而又不被病毒掃描雷達(dá)發(fā)現(xiàn)。另外，這款惡意軟件又非常復(fù)雜，因?yàn)樗辉趦?nèi)存中運(yùn)行，而不使用磁盤操作，因此很難被檢測到。報(bào)告中陳述道：

“這款惡意軟件僅僅在內(nèi)存中執(zhí)行，正常操作時(shí)最終的有效載荷從未出現(xiàn)在磁盤上。然而，可以通過解碼二進(jìn)制數(shù)據(jù)來使得分析變得容易。”

Trochilus遠(yuǎn)程訪問木馬背后的攻擊者主要使用了惡意郵件作為攻擊向量，郵件中包含了一個(gè).RAR附件的惡意軟件。

此外，其他安全公司和獨(dú)立組織也分析了這個(gè)網(wǎng)絡(luò)間諜活動(dòng)，其中包括Palo Alto網(wǎng)絡(luò)和Citizen實(shí)驗(yàn)室，其中Citizen實(shí)驗(yàn)室發(fā)布了一篇有趣的報(bào)告，題目為《針對(duì)NGO的惡意軟件攻擊導(dǎo)致對(duì)緬甸政府網(wǎng)站的攻擊》。

遠(yuǎn)程訪問木馬的發(fā)展前景預(yù)測

毫不懷疑，對(duì)于現(xiàn)代間諜活動(dòng)來說，惡意軟件絕對(duì)是一個(gè)特權(quán)工具。所以，我們將無意中協(xié)助推進(jìn)遠(yuǎn)程訪問木馬數(shù)量的持續(xù)增長，并且可以預(yù)期到這些威脅將變得更加復(fù)雜和難以檢測。

本文轉(zhuǎn)自d1net（轉(zhuǎn)載）

總結(jié)

以上是生活随笔為你收集整理的网络间谍又添利器：新型远程访问木马Trochilus的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。