信息來源：企業(yè)網(wǎng)

        賽門鐵克最近發(fā)現(xiàn)了一個此前不為人所知的網(wǎng)絡間諜組織——名叫“Sowbug（潮蟲）”。該組織一直在對南美和東南亞企業(yè)進行高度針對性的網(wǎng)絡攻擊，其中涉及到一些外交政策政府部門和外交組織機構。據(jù)賽門鐵克公司最近發(fā)布的一份分析報告顯示，“潮蟲”網(wǎng)絡間諜組織會采取一些間諜攻擊活動，來竊取政府部門文件。

        賽門鐵克的專家還發(fā)現(xiàn)，“潮蟲”黑客組織還對阿根廷、巴西、厄瓜多爾、秘魯、以及馬來西亞等國的外交政策部門、政府機構和外交組織發(fā)動過秘密襲擊。他們使用了一個名為“Felismus”的惡意軟件來破壞目標系統(tǒng)，相關惡意代碼是在今年三月份被 Forcepoint 公司研究人員首次發(fā)現(xiàn)，不過只有賽門鐵克公司的專家探索到這些惡意代碼其實和“潮蟲”組織相關。

Forcepoint 公司在一份聲明中表示：

        “根據(jù)分析顯示，惡意軟件總體上是模塊化的，代碼編寫的很出色，而且會竭盡全力地組織安全分析工作和溝通內容。很明顯，這些攻擊都是有高度針對性的。此外，正如此前分析所討論的那樣，這些惡意軟件還可以獲取重復使用的電子郵件地址和其他類似可追溯的文件內容?！?

        Felismus 是一個可遠程訪問的特洛伊木馬程序，設計的非常復雜，呈模塊化結構，允許后門木馬擴展其功能。

賽門鐵克公司補充表示：

        “我們在今年三月首次發(fā)現(xiàn)了一個名為Felismus的全新惡意軟件在東南亞對目標進行了攻擊，這是我們看到與‘潮蟲’組織相關的間諜活動的第一個證據(jù)。隨后，我們確認了太平洋兩岸的更多受害者。盡管 Felismus 惡意軟件攻擊在今年三月份就已經(jīng)被發(fā)現(xiàn)了，但是直到最近才知道該工具和‘潮蟲’組織有關聯(lián)。塞門鐵殼還能夠將一些早期的攻擊活動和‘潮蟲’組織聯(lián)系起來，證明他們至少從兩年前、甚至更早的時候就開始運行了?！?

        Felismus 惡意軟件后門運行攻擊者完全控制受感染的系統(tǒng)，研究人員已經(jīng)將此前多筆攻擊活動和“潮蟲”黑客組織關聯(lián)了起來，他們的結論是，至少從2015年開始，該組織就已經(jīng)非?；钴S了。

賽門鐵克公司在報告中提到：

        “到目前為止，‘潮蟲’組織的攻擊對象似乎主要集中在南美洲和東南亞的政府實體，包括阿根廷、巴西、厄瓜多爾、秘魯、文萊和馬來西亞。該黑客組織資源充足，能夠同時滲透多個目標，而且經(jīng)常在政府機構工作時間之外運作?！?

據(jù)惡意軟件研究人員透露，“潮蟲”組織使用虛假的 Windows 或 Adobe Reader 軟件更新來侵入目標系統(tǒng)。在該黑客組織中，還有一個名為 Starloader 的工具，可用于在目標系統(tǒng)上部署更多惡意軟件和工具，比如憑證轉儲器和鍵盤記錄器。

        這個 Starloader 工具會被包裝成一些軟件更新程序，比如 AdobeUpdate.exe，AcrobatUpdate.exe，或是 INTELUPDATE.EXE，等等。

賽門鐵克表示：

        “黑客提供的工具文件名和正版軟件使用的文件名十分相似，并且將其放置在可能被誤認為合法軟件使用的目錄樹中。這使得攻擊者很好地隱藏起來，因為即便這些惡意軟件在進程列表中出現(xiàn)，也不太可能會引起人們的懷疑?！?

        不僅如此，“潮蟲”黑客組織通常會在標準辦公時間之外進行攻擊操作。在一個案例中，他們在目前網(wǎng)絡上潛伏了長達六個月時間（從去年九月到今年三月）都沒有被發(fā)現(xiàn)。