本文讲的是TeamSpy又回来了,TeamViewer变成了它的攻击载体,
上周末,Heimdal Security的安全专家了一个新的垃圾邮件恶意活动,它们正在利用TeamSpy恶意软件窃听受害者信息。
自从2013年最后一次出现之后,TeamSpy就再也没有出现过了。4年前,CrySyS Lab的安全研究员发现了一个存在数十年之久的网络间谍组织,它的目标主要是东欧国家的高级别政治组织和工业组织,攻击手段是利用社工的方式诱骗受害者安装TeamSpy恶意软件。
TeamSpy沉寂四年之后再次出现了
而沉寂了几年之后,TeamSpy再次出现了。它利用流行的远程控制软件TeamViewer和精心构造的恶意软件从受害者手中窃取机密文档和加密密钥。
攻击链条始于一个含有压缩文件的垃圾邮件:Fax_02755665224.zip -> Fax_02755665224.EXE。当受害者打开压缩文件时,恶意程序便会执行另外一个exe文件,从而在受害者设备上安装TeamSpy。恶意DLL如下:
[% APPDATA%] \ SysplanNT \ MSIMG32.dll. That library then recorded via C: \ Windows \ system32 \ regsvr32. exe “/ s” [% APPDATA%] \ SysplanNT \ MSIMG32.dll
根据研究人员的调查显示,TeamSpy包含很多组件TeamViewer VPN、键盘记录器。另外,它的隐藏性也非常好,受害者很难发现自己已经被攻击了,就连杀毒软件也很难检测到TeamSpy变种。
至于TeamSpy是怎样感染的用户,受害者肯定是看不见的,但是它确实已经感染了受害者设备。这种攻击还能绕过双因素认证,所以攻击者可以在受害者设备上登录受害者账号,从而访问受害者的加密数据。
防御措施
关于这种攻击的防御措施,依然还是不要打开陌生人邮件里的附件和链接,即使是自己熟悉人的邮件也要保持警惕。如果想继续打开其中的附件,建议在虚拟机环境下打开。
原文发布时间为:2017年2月22日
本文作者:張奕源Nick
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。