來自ESET公司的安全專家分析了惡意軟件Dino后確信，這個復(fù)雜的間諜軟件的主人是法國黑客組織“動物農(nóng)場(Animal Farm)”。

[[138828]]

最新惡意軟件Dino

Dino是模塊化的惡意軟件，擁有很多的組件，所以它可以同時執(zhí)行多個任務(wù)，甚至還可以執(zhí)行C2C服務(wù)器和windows發(fā)出的批量命令。

該惡意軟件還有一些功能，比如搜索特定的文件并上傳特定的文件到C&C服務(wù)器，然后在從服務(wù)器上下載用于進(jìn)一步攻擊的文件、制定命令執(zhí)行時間表、阻止進(jìn)程、躲避殺毒軟件追蹤等。

惡意軟件家族

今年早些時候安全專家發(fā)現(xiàn)了兩個強(qiáng)大的惡意軟件——Babar和Casper，這兩款惡意軟件都疑似是法國情報機(jī)構(gòu)開發(fā)，用于全球范圍內(nèi)的網(wǎng)絡(luò)間諜活動。Babar惡意軟件被外部安全總指揮部(DGSE)用于監(jiān)督和網(wǎng)絡(luò)間諜活動，Casper也是由加拿大安全研究員發(fā)現(xiàn)，也與法國情報機(jī)構(gòu)有關(guān)。

Babar

Babar是一款功能強(qiáng)大的間諜軟件，它能竊聽各流行通信平臺(Skype、MSN、Yahoo通訊等)上通訊信息，還可以記錄受害者的擊鍵次數(shù)、監(jiān)視受害者的網(wǎng)絡(luò)活動。Babar曾被用于監(jiān)視伊朗核武器研究機(jī)構(gòu)和大學(xué)、歐洲金融機(jī)構(gòu)的金融活動等。這一機(jī)密信息是由加拿大情報機(jī)構(gòu)爆出，并將其關(guān)聯(lián)到法國政府。

Casper

[[138829]]

Casper惡意軟件，由加拿大安全專家發(fā)現(xiàn)。與Babar的監(jiān)控范圍有所不同，Babar監(jiān)控的是國家級組織，而Casper的監(jiān)視范圍卻縮小到了個人——它主要監(jiān)控互聯(lián)網(wǎng)個人用戶。攻擊者會使用Casper入侵受害者的計算機(jī)系統(tǒng)，然后監(jiān)視他們或者嵌入一些其他類型的惡意程序。

Casper是由一個法國黑客組織Animal Farm(動物農(nóng)場)開發(fā)，該黑客組織在過去的幾年內(nèi)已發(fā)動了多次間諜活動，而且攻擊者實施間諜活動時使用了兩個0day漏洞。

之所以說Dino也屬于“動物農(nóng)場”惡意軟件家族中的一員，是因為研究員發(fā)現(xiàn)Dino和其他的惡意軟件有很多相似的地方，尤其是在語言方面。例如文件路徑中的一個詞“arithmetique”就是法語詞匯。

惡意軟件分析報告

來自各安全公司的安全專家們詳細(xì)分析了“動物農(nóng)場”APT的惡意軟件，分析報告如下：

Casper

Bunny

Babar

Dino