Strider Cyber​​攻击小组部署Sevionage的恶意软件

SRTIDER是一个以前未知的网络攻击者，是使用秘密软件的网络间谍活动，安全公司赛门铁克已透露。

Strider正在使用一个名为backdoor.remsec的先进的恶意软件来窥探俄罗斯，中国，瑞典和比利时的目标。

根据赛门铁克研究人员的说法，Remsec似乎专为间谍而设计，在代码中与Sauron中的参考文献，在戒指之王的全部观看敌人。

Symantec表示，Strider能够创建自定义恶意软件工具，并在雷达下方运行至少五年。

根据恶意软件的间谍功能和其已知目标的性质，该组可能是一个国家攻击者。

其他赛门铁克调查结果显示出与先前未被发现的群体的可能链接，因为使用了类似的技术。

调查显示，Strider的目标之一之前也被Regin Spyware感染，以其用于系统间谍活动而闻名。

虽然自2011年10月以来，人们被认为已经积极活跃，但本集团于现在保持低调。它的目标主要是一个国家和唯一的组织，这是一个兴趣的国家州的情报服务。

Symantec从公司的行为引擎检测后，从提交其追踪后，获得了本集团的Remsec恶意软件的示例。

根据研究人员，Remsec通常建立一种使攻击者能够绕过安全机制的方法，将后门创建到计算机系统中，因此登录凭据和数据可以被盗。

Strider在其选择目标方面非常有选择。迄今为止，Symantec发现了七个独立组织的36台计算机中感染的证据。本集团的目标包括俄罗斯的许多组织和辛勤金，中国的一家航空公司，瑞典的一个组织以及比利时的一个大使馆。

研究人员表示，Remsec Malware由作为一个框架一起工作的模块组成，该框架提供完全控制受感染的计算机，允许攻击者跨网络移动，exfiltrate数据和部署自定义模块。

Remsec使用模块的几个例子，编写了Lua编程语言。研究人员表示，Remsec使用Lua解释器来运行执行各种功能的Lua模块。

模块包括加载器（从磁盘打开文件并执行它们），伪装为安全支持提供程序，解密和加载其他LUA模块的主机加载器，键盘记录击键和exfiltrate此数据，用于打开网络的网络侦听器基于对特定类型的流量监视的连接，以及包含用于命令和控制服务器的多个地址的HTTP后门。

Remsec包含许多功能以帮助其避免检测。若干组件是可执行二进制大物体（BLOB）的形式，这对于传统的防病毒软件来说更难以检测。

此外，在网络上部署了大部分恶意软件功能，因此它仅在计算机的内存中驻留，并从未存储在磁盘上，这使得更难检测。

赛门铁克表示，其研究人员将继续寻找更多的Remsec模块和目标，以建立他们对Strider的理解。与此同时，他们已经编译了一个妥协的一个关于妥协的资料，详细信息，以帮助组织在自己的IT环境中识别与Strider相关的威胁。