• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:278

1.賽門鐵克日前指出，一個名為「神行客」（Strider）的駭客組織，背後疑似有國家支持，來進行網路間諜行為，利用惡意程式Remsec攻擊國家情報服務的個人或組織的電腦，竊取資料、側錄按鍵，目前已感染36台電腦涵蓋俄國、中國、瑞典、比利時。與數年前曝光的惡意軟體「Flame」有相似之處。
2.卡巴斯基實驗室指出，他們是在客戶的網路中發現異常的流量才揪出Strider，目前Strider所使用的Remsec僅感染Windwos作業系統，這些模組使用RC6, RC5, RC4, AES, Salsa20的加密演算法。
3.賽門鐵克命名為Backdoor.Remsec，包含了數個模組：(1)名為MSAOSSPC.DLL的檔案，負責從遠端下載其他惡意程式 (2)Lua模組：Network loader、Host loader、Keylogger (3)Network listener負責網路連線功能，使用的協定包含ICMP, UDP, TCP, DNS, SMTP 與 HTTP (4)Basic pipe back door和Advanced pipe back door：負責控制與執行檔案 (5)HTTP back door包含數個C&C伺服器的位址
4.TWCERT/CC建議參考賽門鐵克(Backdoor.Remsec)與卡巴斯基的IOC檔案進行評估(https://securelist.com/files/2016/07/The-ProjectSauron-APT_IOCs_KL.pdf)，以降低遭駭風險。

攻擊手法：

Remsec攻擊國家情報服務的個人或組織的電腦，竊取資料、側錄按鍵

參考連結：

https://securelist.com/files/2016/07/The-ProjectSauron-APT_IOCs_KL.pdf
http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets
https://www.symantec.com/security_response/writeup.jsp?docid=2016-080214-3