据了解,“抓鸡狂魔”团伙擅长利用darkcomet远程控制木马发起网络攻击活动。darkcomet木马诞生于2008年,又称“暗黑彗星”木马,是国外有名的后门类木马。该木马运行后不仅记录并上传受害者输入的密码、摄像头信息等隐私内容,还可根据服务端指令执行下载文件、启动程序、运行脚本等控制操作。同时,攻击者还可用被控制的电脑作跳板,对其它目标发起ddos攻击。尽管木马作者于2012年已停止了对“暗黑彗星”木马的更新,但是目前仍有大量攻击者使用该工具进行网络攻击。
(图:“抓鸡狂魔”病毒团伙的部分关联信息展示)
据安全技术安全专家介绍,“抓鸡狂魔”团伙近两年攻击事件频发。其中从2018年4月份开始,通过投递带有cve-2017-11882等漏洞文档的鱼叉邮件发起攻击。同时,该团伙擅长利用darkcomet、njrat、netwire等工具发起网络攻击,通过常用钓鱼手法,比如鱼叉邮件、伪装正常程序以假乱真、美女图标程序等,而且利用已公开的漏洞来提高攻击成功率。
作为一款古老的远程控制木马,darkcomet常见通过鱼叉邮件传播,作为攻击rat(远程控制管理的简称),功能十分强大。区别于其他远程控制木马,darkcomet木马已形成一套独立的传输协议,数据收发时都会进行加解密,确保顺利通信。
经溯源追踪,目前该木马控制服务器大多位于美国、法国,通过攻击使用话术和样本资源信息分析,评估认为该团伙位于欧美地区的可能性较大。根据智慧安全御见情报中心分析,darkcomet远程控制木马(“暗黑彗星”木马)国内感染率最高的为广东、浙江和河南,分别为218%,1385%和855%。
(图:“抓鸡狂魔”地域分布)
由于该木马目标锁定企业及个人用户,波及范围较为广泛,影响极为恶劣。为此,安全反病毒实验室负责人、电脑管家安全专家马劲松提醒广大用户,务必养成良好的上网习惯,保持电脑管家等主流杀毒软件开启并运行状态,勿轻信网站提示关闭或退出杀毒软件,及时更新系统补丁,并实时拦截该类病毒风险;同时建议用户通过正规渠道下载软件,不要随意点开来历不明的邮件附件,可有效降低该类木马攻击的风险。
(图:企业级安全防御产品御点)
针对企业用户,马劲松提醒企业网络管理员,建议全网安装终端安全管理系统,推荐使用智慧安全御点终端安全管理系统统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业网络管理者全面了解、管理企业内网安全状况、保护企业网络信息安全。