赛门铁克、思科、FireEye、微软等公司联手对抗Hidden Lynx组织

思科、FireEye、F-Secure、iSIGHTPartners、微软、Tenable,ThreatConnect、ThreatTrack Security、Volexity、Novetta和赛门铁克进行跨行业合作共同对抗Backdoor.Hikit和Hidden Lynx恶意软件 。通过跨行业的合作,这些公司建立了情报和资源分享平台,全方位、多元化的保护模式大大削弱了恶意软件的攻击性。

关于Hikit

Hikit是一个很复杂并且隐形的远程访问木马(RAT) 。它在受害者的电脑上植入了一个远程访问后门,使攻击者们能从被感染的计算机上下载信息或者上传指令和恶意软件。

赛门铁克称,Hikit已经至少被两个来自中国的APT组织——Hidden Lynx和Pupa(也称为Deep Panda,深渊熊猫)利用并发动网络间谍攻击。而这些组织是否用了其他的方式,或者有其他的恶意软件工具,目前尚不得知。

关于Hidden Lynx组织

Hidden Lynx,又名极光(Aurora),曾对Google发动攻击。 赛门铁克对Hidden Lynx组织做过调查,了解到他们可以同时对上百个目标进行攻击。另外,调查还发现该组织通常是以“租用黑客”的方式进行工作。

Hidden Lynx被视为是路过式下载(watering-hole)攻击方法的先驱。 一般情况下, 如果0day漏洞不能直接攻击目标的情况,Hidden Lynx则有足够的能力和耐心对目标的供应链进行攻击 ,并把它们作为一个通向最终目标的垫脚石。

2012年,在Bit9的基础配置文件中,Hidden Lynx就已经使用了Hikit。在2012年,Hidden Lynx参与针对Bit9(美国网络安全公司)的攻击活动,而该活动的最终目标是一家受Bit9保护的美国公司。

在此后台湾、美国、日本和韩国的攻击事件中,HiddenLynx继续使用了Hikit。2013年,Hidden Lynx组织进行了一次重要的装备更新,又推出了两款新的恶意软件工具:Backdoor.Fexel和 Backdoor.Gresim。

来自FreeBuf的更多资料

Symantec近期发布了一份名为《Hidden Lynx – Professional Hackers for Hire》的报告,揭示了Symantec多年来跟踪分析的一个50~100人的顶级黑客组织的发起了多起APT活动行为。

传送门: 《揭秘Hidden Lynx组织的APT攻击行动》

以下是赛门铁克的广告

赛门铁克很乐意与愿意分享情报以及共同对抗APT组织的合作者进行协作。通过合作我们可以保证在不久的将来,任何被黑客瞄准的目标都会得到很好的保护。

赛门铁克提供了以下检测方法:

AV

· Backdoor.Hikit

· Backdoor.Hikit!gen1

· Backdoor.Fexel

· Backdoor.Gresim

· Infostealer.Derusbi

· Trojan.Naid

· Trojan.Naid!gm2

· Trojan.Naid!gen1

· Backdoor.Moudoor

· Backdoor.ZXShell

· Backdoor.Darkmoon

IPS

· System Infected:Backdoor.Hikit Activity 2

· System Infected:Backdoor.Fexel Activity 3

· System Infected:Gresim Activity

· System Infected:Backdoor.Fexel Activity

· System Infected:Infostealer.Derusbi Activity

· System Infected:Trojan.Naid Activity 2

· System Infected:Moudoor Backdoor Activity

· System Infected:Backdoor DarkMoon Activity