卡巴斯基实验室发现了一种名为 Reductor 的恶意工具,它允许您欺骗用于在从浏览器传输到 HTTPS 站点期间加密数据的随机数生成器。 这为攻击者在用户不知情的情况下监视其浏览器活动打开了大门。 此外,发现的模块还包括远程管理功能,从而最大限度地发挥了该软件的功能。
攻击者利用该工具对独联体国家的外交使团进行网络间谍活动,主要监控用户流量。
恶意软件的安装主要使用 COMPfun 恶意程序(之前被识别为 Turla 网络组织的工具),或者通过在从合法资源下载到用户计算机的过程中替换“干净”软件来进行。 这很可能意味着攻击者可以控制受害者的网络通道。
“这是我们第一次遇到这种类型的恶意软件,它使我们能够绕过浏览器加密并在很长一段时间内不被发现。 它的复杂程度表明Reductor 的创建者是严肃的专业人士。 此类恶意软件通常是在政府支持下创建的。 然而,我们没有证据表明 Reductor 与任何特定的网络组织有关。”卡巴斯基实验室首席反病毒专家库尔特·鲍姆加特纳 (Kurt Baumgartner) 表示。
所有卡巴斯基实验室解决方案都能成功识别并阻止Reductor 程序。 为避免感染,卡巴斯基实验室建议:
- 定期对企业IT基础设施进行安全审计;
- 安装带有 Web 威胁防护组件的可靠安全解决方案,使您能够识别并阻止试图通过加密通道渗透系统的威胁,例如卡巴斯基企业安全解决方案,以及可在网络上检测复杂威胁的企业级解决方案。早期网络层面,例如卡巴斯基反针对性攻击平台;
- 将 SOC 团队连接到威胁情报系统,以便其能够访问有关新的和现有的威胁、攻击者使用的技术和策略的信息;
- 定期开展培训,提高员工数字化素养。
来源: 3dnews.ru