根据美国国家安全局(nsa)历史上最大规模的黑客入侵之一提供的线索，研究人员发现了一个新的黑客组织，它用一种此前不为人知的高级恶意软件感染了目标。

 

2017年4月首次出现了apt(高级持续威胁组的缩写)的迹象。当时，沐鸣开户测速一个自称“影子经纪人”(Shadow Brokers)的身份不明的组织公布了NSA开发的漏洞和代码，这些代码后来被NSA窃取。这份名为《迷失在翻译中》(Lost in Translation)的新闻稿以发表《永恒的蓝色探索》(the Eternal Blue exploit)而闻名，它后来为WannaCry和NotPetya蠕虫提供了动力，在全世界造成了价值数百亿美元的损失。但转储文件中还包含了其他内容:一个用于检查各种apt的恶意软件的脚本。

 

卡巴斯基实验室的研究人员表示，脚本中描述的其中一个apt最迟在2009年开始运行，然后在2017年消失，同年《影子经纪人邮报》发表。这个被称为“暗黑宇宙”的组织可能与伊塔图克有关。伊塔图克是一个自2013年以来一直积极针对维吾尔族和藏族人的组织。链接评估是基于唯一的代码重叠在两个组的恶意软件。

 

竭尽全力

 

研究人员进一步深入到“黑暗宇宙”，发现该组织不遗余力地感染和监视其目标。例如，鱼叉式钓鱼邮件是为每个目标单独准备的，以确保它们吸引了收件人的注意力，并诱使他们打开附加的微软文档。此外，这个功能齐全的恶意软件是从零开始开发的，并在该组织已知存在的8年时间里得到了显著的发展。每个恶意软件样本在被发送到最新的可执行版本之前被立即编译。

 

卡巴斯基的研究人员在周二发表的一篇文章中写道:“攻击者足智多谋，在整个行动周期中不断更新他们的恶意软件，因此2017年观察到的样本与2009年的初始样本完全不同。”“暂停其操作可能与‘翻译丢失’泄漏的发布有关，或者攻击者可能只是决定切换到更现代的方法，并开始使用更广泛的人工制品来进行操作。”

 

暗黑宇宙的模块化恶意软件能够在很长一段时间内收集大量关于用户和被感染系统的信息。收集的数据包括:

 

键盘输入

 

电子邮件谈话

 

来自Outlook Express、Outlook、Internet Explorer、Windows Mail和Windows Live Mail、Windows Live Messenger和Internet缓存的凭据

 

截图

 

来自特定目录的文件

 

来自远程服务器和共享资源的数据

 

远程服务器的文件列表(如果指定的凭据有效)

 

来自Windows注册表的信息

 

该恶意软件还可以改变DNS设置，执行基本的中间人攻击，沐鸣开户测速以及下载和执行文件。控制服务器主要存储在mydrive上。ch云存储服务。暗黑宇宙的操作员为每个目标创建了一个新账户，以及附加的恶意软件模块和配置文件。

 

研究人员了解了叙利亚、伊朗、阿富汗、坦桑尼亚、埃塞俄比亚、苏丹、俄罗斯、白俄罗斯和阿拉伯联合酋长国的20个受感染目标。目标是平民和军事组织。研究人员怀疑，2009年至2017年期间的感染人数要高得多。