全球各领事馆和大使馆遭新型恶意软件Gazer监控

近日，网络安全公司 ESET 的研究人员发现了一项针对全球各个领事馆部委与大使馆的新型后门恶意软件 Gazer 监控，据初步判断，其疑似于俄罗斯 APT 组织 Turla 有关。

一、恶意软件Gazer简要分析

根据此次调查显示，该恶意软件 Gazer 是由开发人员使用 C ++ 程序编写的，主要通过鱼叉式网络钓鱼攻击进行传播的，攻击者能够实现通过 C＆C 服务器来远程接收加密指令，并能使用已被入侵的合法网站（ 多数使用 WordPress程序搭建 ）作为代理实现规避安全软件检测。

据安全研究人员解释，该恶意软件所采用的后门最早可以追溯到2016年，其所使用的整体组件和与 Turla 开发的 Carbon 与 Kazuar 后门存在诸多的相似之处，而 Gazer 似乎更甚一筹，其后门能够使用代码注入技术控制被入侵的设备并实现长期隐身而不被杀软监测到，从而便于窃取更多的用户敏感信息。

经证实，后门恶意软件 Gazer 目前存在四种不同的变种，欧洲地区政府机关受影响的情况最为严重，而且值得注意的是，不禁早期版本的 Gazer 恶意软件获得了 Comodo 颁发的 “ Solid Loop Ltd ” 有效证书，最新版本的 Gazer 恶意软件同样也获得了 “ Ultimate Computer Support Ltd. ” 颁发的 SSL 证书。

这就意味着，不管是哪一个变种版本，后门恶意软件 Gazer 都有着自己的合法身份，披着合法的外衣的恶意软件能够在用户设备中畅行无阻。

二、什么是鱼叉式网络钓鱼攻击

前文笔者提到，恶意软件 Gazer 主要是通过鱼叉式钓鱼攻击进行传播的，那么，什么是鱼叉式网络钓鱼攻击呢？

简单来说，鱼叉式网络钓鱼攻击比常见的钓鱼攻击手段更加的精准，远不像常规钓鱼攻击那种广撒网的等待鱼儿咬钩的手段，有着特定的攻击人群而并非是常规人群，其锁定的攻击对象是特定的公司、组织成员等。

因此一旦攻击效果实现，被泄漏的资料往往都是高度敏感的资料，比如说商业机密，以及前文我们提到的大使馆和领事馆部委的隐私数据，同时，由于具备目标性，因此这种攻击方式的成功率非常的高，受害者点开一个链接、打开一个表格、打开一个文档都有可能感染病毒，而且被感染后直接为攻击者开启了后门，很难被清理干净！

对此，安全研究人员建议那些系统管理员，最好是能够启用全方位的检测和预防系统，并禁用已经过时的协议和端口，实时的对流量数据进行监控，部署全面的安全机制！

三、俄罗斯网络间谍组织 Turla 简要分析

作为俄罗斯网络间谍组织之一的 Turla，一般也被人们称之为 Waterbug 、Venomous Bear和 Krypton，该组织从2007年起就一直处于活跃状态，其主要针对欧洲外交部等政府机构、大使馆、军事组织、研究和教育组织以及制药企业展开攻击活动。

2014年时候，卡巴斯基实验室为人们揭开了 Turla 的神秘面纱，已经有超过45个国家的上百个IP成为受害者，由于其拥有宽泛的攻击范围和攻击手段，全球化的高级攻击已然成为其攻击常态，历史上典型的受害目标就包括瑞士科技与军备制造企业 RUAG 公司、美国中央司令部等。