APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具,自我更新更厲”駭”
BKDR_ADDNEW 惡意程式 (也就是地下網路上所稱的「DaRK DDoSseR」) 是一個可從事 DDOS 分散式阻斷服務攻擊的工具,同時又具備了密碼竊取能力、瀏覽檔案、擷取畫面、啟動麥克風或啟動網路攝影機等能力。該工具的售價大約 30 美元,已經出現好幾年了。
某些感染 BKDR_ADDNEW 程式的電腦後來也感染了 Gh0st RAT 惡意程式。儘管 Gh0st RAT 曾經出現在許多鎖定目標攻擊,但此工具及其多個變種一直為 APT攻擊/進階持續性威脅 (Advanced Persistent Threat, APT)者與網路犯罪者所廣泛採用。
在執行時,BKDR_ADDNEW 會連線至一個 TCP 連接埠來接收遠端犯罪者的指令 (我們分析過一些使用連接埠443, 3176 和 3085 的樣本,但其預設連接埠為 3175)。
可能接收到的一些指令包括:下載檔案、竊取 Mozilla Firefox 密碼、顯示 DNS 資訊以及傳送應用程式權限等等。此外,它還能發動阻斷服務 (DOS) 攻擊。