专家发现部署在美国联邦机构网络上的后门

一个与国际权利相关的美国联邦政府委员会已成为后门的目标，据报道该后门破坏了其内部网络，研究人员将其描述为“经典的 APT 类型操作”。

捷克安全公司 Avast在一份声明中说： “这次攻击可以提供网络的完全可见性和系统的完全控制，因此可以用作多阶段攻击的第一步，以更深入地渗透这个或其他网络。”上周发布的报告。

联邦实体的名称未披露，但来自Ars Technica和The Record 的报告将其与美国国际宗教自由委员会 ( USCIRF )联系在一起。Avast 表示，在尝试直接将入侵通知该机构并通过美国政府设置的其他渠道未成功后，它正在公开其调查结果。

在这个阶段，只发现了“攻击谜题的一部分”，对于用于破坏网络的初始访问向量的性质，以及由行为者，以及妥协本身的整体影响。

众所周知，攻击分两个阶段进行，以部署两个恶意二进制文件，第一个阶段可能使身份不明的对手拦截互联网流量并执行他们选择的代码，从而允许运营商完全控制受感染的系统。它通过滥用WinDivert（一种适用于 Windows 的合法数据包捕获实用程序）来实现这一点。

有趣的是，不仅两个样本都伪装成名为“ oci.dll ”的Oracle 库，在攻击期间部署的第二阶段解密器被发现与趋势科技研究人员在 2018 年详细介绍的另一个可执行文件有相似之处，后者深入研究了信息盗窃被称为“红色签名行动”的供应链攻击针对的是韩国的组织。这些重叠导致 Avast 威胁情报小组怀疑攻击者可以访问后者的源代码。

研究人员说：“假设发生了某种形式的数据收集和网络流量泄露是合理的，但这是有根据的推测。” “也就是说，我们无法确定这次攻击的规模和范围超出了我们所看到的范围。”