近日,卡巴斯基实验室的研究人员同高级威胁检测公司Seculert联合进行了一项针对“Madi”恶意攻击的调查,发现Madi是一次持续性的网络间谍行动,攻击目标位于中东地区。而卡巴斯基实验室的反病毒系统将Madi恶意软件变种以及相关的释放器和组件检测为 Trojan.Win32.Madi。据悉,Madi最初由Seculert发现,是一种网络入侵攻击行为,攻击过程中使用一种恶意木马程序,并利用社交工程技术对攻击目标进行仔细筛选。
卡巴斯基实验室联合Seculert共同对Madi的命令控制服务器(C&C)进行了排污行动,从而监控其攻击行为。期间,卡巴斯基实验室和Seculert发现了位于伊朗、以色列以及全球其它国家的共超过800台受感染计算机在过去8个月中连接到此命令控制服务器。排污行动数据显示,受害用户主要是从事伊朗和以色列重要基础设施项目的商务人员、以色列金融机构工作人员、中东地区的工程学生以及负责中东地区交流的政府机构。
此外,对攻击中所使用的恶意软件进行分析显示,感染初期,恶意软件会下载一些有关宗教或政治内容的文档和图片进行干扰,让用户无法察觉被感染。
卡巴斯基实验室资深恶意软件分析师Nicolas Brulez解释说:“这次攻击中使用的恶意软件和基础设施同其它类似的攻击相比,相对较为简单。Madi攻击者能够对被攻击用户实施持续的监控,可能正是由于攻击者的不专业以及攻击技术的不成熟,导致这次攻击行动很长时间未被发现。”
Seculert首席技术官Aviv Raff表示:“有趣的是,分析过程中,我们在恶意软件以及其命令控制工具中发现很多波斯文字符串,这一现象并不多见。很明显,攻击者应该精通这种语言。”
Madi攻击中所使用的木马程序具有信息窃取功能,能够让远程攻击者窃取受感染计算机上的敏感文件,并监控用户的敏感通讯,如电子邮件和即时通讯消息,并且能记录用户的音频、键盘击键,截取用户屏幕。数据分析显示,从受感染计算机上传的数据已经有好几个T。