Blackgear(也稱為Topgear和Comnie)網路間諜活動早在2008年就已經出現(根據駭客所使用的Protux
後門程式)。它的目標是日本、韓國和台灣的組織,對公家機關、電信業及其他高科技產業進行攻擊。像在2016年,我們就發現它使用各種惡意工具(最著名的是Elirks後門程式)攻擊日本的組織。Blackgear有著高度的組織性,而且自行開發所用的工具,我們從其最新攻擊可以發現這些工具都已經被改進過。
Blackgear的特色是它躲避偵測的能力,會利用部落格、微網誌和社群媒體來隱藏其命令與控制(C&C)設定。不同於將C&C資訊嵌入惡意軟體而容易被封鎖的作法,它的作法讓Blackgear可以根據需要來快速變更C&C伺服器。讓它能夠延長駐留在系統內的時間好進行進一步的橫向移動。
分析了Blackgear最新攻擊活動所使用的Marade下載器(趨勢科技偵測為TSPY_MARADE.ZTBC)和Protux(BKDR_PROTUX.ZTBC),我們在部落格和社群媒體找到加密過的設定(參見圖1)。這可能表示這些惡意軟體是由同一個團體開發。
圖1、Marade發在Facebook上的加密過設定 繼續閱讀