研究人员发现了一个攻击活动，该活动使用以前未见过的恶意软件来攻击中东组织，其中一些组织位于工业部门。

 

发现这一活动的安全公司卡巴斯基实验室(Kaspersky Lab)的研究人员将其称为“野性压力”(WildPressure)。它使用了一系列恶意软件，沐鸣开户测速与以往攻击中所见的任何恶意代码都没有相似之处。它还针对那些与其他已知活动不重叠的组织。

 

该恶意软件被称为Milum，它是用c++编写的，其中包含的线索表明，开发人员可能正在开发用其他编程语言编写的版本。虽然Milum使用的配置数据和通信机制在恶意软件开发人员中很常见，但研究人员认为恶意软件和目标都是独特的。

 

注意得到

 

卡巴斯基研究员Denis Legezo在周二发表的一篇文章中写道:“一场显然只针对中东地区实体的运动(至少其中一些是与工业相关的)会自动吸引任何分析师的注意力。”“任何相似之处在归属上都应该被认为是薄弱的，可能只是从以前众所周知的案例中复制来的技术。”事实上，这种‘向更有经验的攻击者学习’的循环在最近几年已经被一些有趣的新参与者采用了。”

 

Milum样本显示的汇编日期为2019年3月，与2019年5月31日第一次已知感染的时间框架一致。卡巴斯基于去年8月首次发现了米伦。

 

恶意软件使用RC4加密密码，每个目标有不同的64位密钥。它还为配置数据使用JSON格式，沐鸣开户测速并通过HTTP post与控制服务器通信。JSON数据中的字段对应于c++语言和.exe文件扩展名。这条线索让研究人员推测，基于其他语言的恶意软件版本正在开发中，或者可能已经存在。到目前为止，研究人员已经收集了三个几乎相同的样本，都来自同一个未公开的国家。

 

恶意应用程序作为不可见的工具栏窗口存在。恶意软件在一个单独的威胁中实现功能。研究人员无法访问来自控制服务器的命令，但通过分析恶意软件中的命令处理程序，研究人员能够拼凑出以下内容:

 

代码含义特性

 

默默执行接收到的解释器命令，通过管道返回结果

 

服务器到客户端解码接收到的“data”JSON字段中的内容，并将其放到“path”字段中提到的文件中

 

客户端到服务器的编码文件中提到的接收命令“路径”字段来发送它

 

获取文件属性:隐藏，只读，存档，系统或可执行文件

 

生成并运行批处理脚本来删除自身

 

命令结果获取命令执行状态

 

系统信息验证目标与Windows版本，架构(32位或64位)，主机和用户名，安装的安全产品(与WQL请求“选择从抗病毒产品的displayName“Windows卫士”)

 

目录列表获取信息的文件在目录:隐藏，只读，档案，系统或可执行

 

获取新版本并删除旧版本

 

当研究人员控制了该运动的控制服务器之一时，他们发现大部分位于中东的计算机都在连接。(研究人员认为，不位于中东的IP地址属于网络扫描器、Tor出口节点和VPN连接。)其中一些中东IP地址属于占领工业部门的组织。Milum的名字来自一个可执行文件名中的字符串，以及恶意软件内部的c++类名。

 

上面这张卡巴斯基的电脑连接到天坑控制服务器的截图显示，沐鸣开户测速只有伊朗的设备在连接。周二的帖子没有指明其他受感染组织的国家。

 

在过去的十年中,中东已成为一个热点对于黑客的操作,与(名字只有4)攻击瞄准关键基础设施的安全控制设施,据报道我们操作,阻碍伊朗油轮的能力目标,一个破坏性的道歉可以反对沙特阿拉伯天然气公司和Stuxnet火焰恶意软件针对伊朗。WildPressure和Milum的发现表明，该地区的袭击不太可能在短期内消失。