行業(yè) | APT組織攻擊歐洲、拉丁美洲的外交機構

據(jù)外媒報道，網(wǎng)絡安全公司ESET的研究人員發(fā)現(xiàn)了惡意軟件Okrum和Ketrican的新版本，可能與針對外交組織實施網(wǎng)絡間諜活動的Ke3chang組織有關。

2015年，研究人員發(fā)現(xiàn)黑客組織使用惡意軟件Ketrican專門攻擊斯洛伐克，克羅地亞、捷克共和國等歐洲國家也受到了影響。

2016年底，研究人員首次發(fā)現(xiàn)惡意軟件Okrum，當時它被用于攻擊比利時、斯洛伐克、巴西、智利和危地馬拉的外交組織。Okrum可以調(diào)用ImpersonateLoggedOnUser API來模擬登錄用戶的安全環(huán)境，以獲得管理員權限。隨后，它會自動收集有關受感染計算機的信息，包括計算機名稱、用戶名、主機IP地址、主DNS后綴、OS版本、內(nèi)部版本號、體系結(jié)構、用戶代理字符串和區(qū)域設置信息（語言名稱，國家/地區(qū)名稱）。

研究發(fā)現(xiàn)，Okrum后門刪除了2017年的Ketrican后門。另外一個重要發(fā)現(xiàn)是，一些受Okrum惡意軟件影響的外交部門也受到了2015年和2017年的Ketrican后門的影響。因此Okrum和Ketrican存在一定聯(lián)系。

2019年3月份，研究人員發(fā)現(xiàn)了新的Ketrican樣本，該樣本是從2018年的Ketrican后門發(fā)展而來。