Waterbear 是一個已肆虐多年、善於使用模組化惡意程式、並可從遠端新增功能的駭客攻擊行動。此攻擊行動幕後的操控者很可能是 BlackTech 網路間諜集團,該集團主要攻擊東亞的科技公司與政府機關 (特別是台灣,有時也攻擊日本和香港),同時也是某些惡名昭彰的攻擊 (如 PLEAD 和 Shrouded Crossbow) 幕後的黑手。在之前的攻擊當中,我們看到 Waterbear 主要用於橫向移動,並使用檔案載入器來解開及觸發加密的惡意檔案。在大多數情況下,這些惡意檔案都是用來接收並載入更多模組的後門程式。不過在最近一起攻擊中,趨勢科技發現某個 Waterbear 惡意檔案有了全新的用途:藉由 API 攔截 (API hooking) 技巧來隱藏自己的網路活動以免被某資安廠商的產品偵測。根據我們的分析,這是一家亞太地區的資安廠商,而這也正是 BlackTech 集團習慣攻擊的地區。
| [延伸閱讀:主要鎖定台灣,專偷機密技術的BlackTech 網路間諜集團] |
由於駭客知道該攔截哪個 API 來避開偵側,因此意味著駭客很可能熟悉該資安產品在客戶端點和網路上蒐集資訊的方式。而且,由於其程式碼採用通用的方式來攔截 API,因此未來很可能只需更換部分程式碼就能讓別的產品也無法偵測 Waterbear。
