行业新闻与博客

据 ESET 的研究人员称，有证据表明新版本的恶意软件系列与难以捉摸的 Ke3chang 小组以及之前未报告的后门相关联。

根据今天的新闻稿，研究人员长期以来一直在追踪高级持续威胁（APT）组织，并怀疑它在中国境外运作。

该软件以 ESET 命名为 Okrum，于 2016 年底首次被发现，当时它被用于瞄准比利时，斯洛伐克，巴西，智利和危地马拉的外交使团和政府机构。然而，研究人员已经看到恶意软件家族的多种变化，并将活动归因于 Ke3chang 组。

“在可追溯到 2015 年的研究中，ESET 在欧洲国家发现了新的可疑活动。袭击事件背后的团体似乎对斯洛伐克特别感兴趣，但克罗地亚，捷克共和国和其他国家也受到影响。分析这些攻击中使用的恶意软件，ESET 研究人员发现它与 Ke3chang 集团的已知恶意软件家族有关，并称为这些新版本的 Ketrican，“该版本称。

“当我们发现 Okrum 后门被用来放弃 2017 年编制的 Ketrican 后门时，我们开始联接点。最重要的是，我们发现一些受 Okrum 恶意软件和 2015 年 Ketrican 后门影响的外交实体也是受到 2017 年 Ketrican 后门的影响，“ESET 研究员 Zuzana Hromcova 说道。 

该组织在 2019 年保持活跃。就在 3 月份，研究人员“发现了一种新的 Ketrican 样本，该样本是从 2018 年的 Ketrican 后门发展而来的。它影响了与 2018 年后门相同的目标，“ 研究表明。

“Okrum 可以使用对 ImpersonateLoggedOnUser API 的调用来模拟登录用户的安全上下文，以获得管理员权限。”然后，它会自动收集有关受感染计算机的信息，包括计算机名称，用户名，主机 IP 地址，主 DNS 后缀值，OS 版本，内部版本号，体系结构，用户代理字符串和区域设置信息（语言名称，国家 / 地区名称），添加的报告。

非常感谢您对亚洲注册的支持与信任！

禁止转载