思科、FireEye、F-Secure、iSIGHTPartners、微软、Tenable,ThreatConnect、ThreatTrack Security、Volexity、Novetta和赛门铁克进行跨行业合作共同对抗Backdoor.Hikit和Hidden Lynx恶意软件。通过跨行业的合作,这些公司建立了情报和资源分享平台,全方位、多元化的保护模式大大削弱了恶意软件的***性。
关于Hikit
Hikit是一个很复杂并且隐形的远程访问***(RAT)。它在受害者的电脑上植入了一个远程访问后门,使***者们能从被感染的计算机上下载信息或者上传指令和恶意软件。
赛门铁克称,Hikit已经至少被两个来自中国的APT组织——Hidden Lynx和Pupa(也称为Deep Panda,深渊熊猫)利用并发动网络间谍***。而这些组织是否用了其他的方式,或者有其他的恶意软件工具,目前尚不得知。
关于Hidden Lynx组织
Hidden Lynx,又名极光(Aurora),曾对Google发动***。赛门铁克对Hidden Lynx组织做过调查,了解到他们可以同时对上百个目标进行***。另外,调查还发现该组织通常是以“租用***”的方式进行工作。
Hidden Lynx被视为是水坑(watering-hole)***方法的先驱。一般情况下,如果0day漏洞不能直接***目标的情况,Hidden Lynx则有足够的能力和耐心对目标的供应链进行***,并把它们作为一个通向最终目标的垫脚石。
2012年,在Bit9的基础配置文件中,Hidden Lynx就已经使用了Hikit。在2012年,Hidden Lynx参与针对Bit9(美国网络安全公司)的***活动,而该活动的最终目标是一家受Bit9保护的美国公司。
在此后台湾、美国、日本和韩国的***事件中,HiddenLynx继续使用了Hikit。2013年,Hidden Lynx组织进行了一次重要的装备更新,又推出了两款新的恶意软件工具:Backdoor.Fexel和 Backdoor.Gresim。
来自FreeBuf的更多资料
Symantec近期发布了一份名为《Hidden Lynx – Professional Hackers for Hire》的报告,揭示了Symantec多年来跟踪分析的一个50~100人的顶级***组织的发起了多起APT活动行为。
传送门:《揭秘Hidden Lynx组织的APT***行动》
以下是赛门铁克的广告
赛门铁克很乐意与愿意分享情报以及共同对抗APT组织的合作者进行协作。通过合作我们可以保证在不久的将来,任何被***瞄准的目标都会得到很好的保护。
赛门铁克提供了以下检测方法:
AV
IPS
·System Infected:Backdoor.Hikit Activity 2
·System Infected:Backdoor.Fexel Activity 3
·System Infected:Gresim Activity
·System Infected:Backdoor.Fexel Activity
·System Infected:Infostealer.Derusbi Activity
·System Infected:Trojan.Naid Activity 2
·System Infected:Moudoor Backdoor Activity
·System Infected:Backdoor DarkMoon Activity
[参考来源http://www.symantec.com/connect/blogs/security-vendors-take-action-against-hidden-lynx-malware,转载请注明来自FreeBuf.COM]