思科、FireEye、F-Secure、iSIGHTPartners、微軟、Tenable,ThreatConnect、ThreatTrack Security、Volexity、Novetta和賽門鐵克進行跨行業合作共同對抗Backdoor.Hikit和Hidden Lynx惡意軟件。通過跨行業的合作,這些公司建立了情報和資源分享平臺,全方位、多元化的保護模式大大削弱了惡意軟件的***性。
關於Hikit
Hikit是一個很複雜並且隱形的遠程訪問***(RAT)。它在受害者的電腦上植入了一個遠程訪問後門,使***者們能從被感染的計算機上下載信息或者上傳指令和惡意軟件。
賽門鐵克稱,Hikit已經至少被兩個來自中國的APT組織——Hidden Lynx和Pupa(也稱爲Deep Panda,深淵熊貓)利用並發動網絡間諜***。而這些組織是否用了其他的方式,或者有其他的惡意軟件工具,目前尚不得知。
關於Hidden Lynx組織
Hidden Lynx,又名極光(Aurora),曾對Google發動***。賽門鐵克對Hidden Lynx組織做過調查,瞭解到他們可以同時對上百個目標進行***。另外,調查還發現該組織通常是以“租用***”的方式進行工作。
Hidden Lynx被視爲是水坑(watering-hole)***方法的先驅。一般情況下,如果0day漏洞不能直接***目標的情況,Hidden Lynx則有足夠的能力和耐心對目標的供應鏈進行***,並把它們作爲一個通向最終目標的墊腳石。
2012年,在Bit9的基礎配置文件中,Hidden Lynx就已經使用了Hikit。在2012年,Hidden Lynx參與針對Bit9(美國網絡安全公司)的***活動,而該活動的最終目標是一家受Bit9保護的美國公司。
在此後臺灣、美國、日本和韓國的***事件中,HiddenLynx繼續使用了Hikit。2013年,Hidden Lynx組織進行了一次重要的裝備更新,又推出了兩款新的惡意軟件工具:Backdoor.Fexel和 Backdoor.Gresim。
來自FreeBuf的更多資料
Symantec近期發佈了一份名爲《Hidden Lynx – Professional Hackers for Hire》的報告,揭示了Symantec多年來跟蹤分析的一個50~100人的頂級***組織的發起了多起APT活動行爲。
傳送門:《揭祕Hidden Lynx組織的APT***行動》
以下是賽門鐵克的廣告
賽門鐵克很樂意與願意分享情報以及共同對抗APT組織的合作者進行協作。通過合作我們可以保證在不久的將來,任何被***瞄準的目標都會得到很好的保護。
賽門鐵克提供了以下檢測方法:
AV
IPS
·System Infected:Backdoor.Hikit Activity 2
·System Infected:Backdoor.Fexel Activity 3
·System Infected:Gresim Activity
·System Infected:Backdoor.Fexel Activity
·System Infected:Infostealer.Derusbi Activity
·System Infected:Trojan.Naid Activity 2
·System Infected:Moudoor Backdoor Activity
·System Infected:Backdoor DarkMoon Activity
[參考來源http://www.symantec.com/connect/blogs/security-vendors-take-action-against-hidden-lynx-malware,轉載請註明來自FreeBuf.COM]