马萨诸塞州沃伯恩市。——卡巴斯基研究人员发现了一系列针对工业资产的高针对性攻击，这些攻击可追溯到2018年，云服务器购买，在先进持续威胁（APT）参与者的世界中，这种攻击比针对外交官和其他知名政治行为体的活动更为罕见。该工具集最初被恶意软件作者命名为MT3，云服务器怎么用，被卡巴斯基称为"montythree"。它使用多种技术来逃避检测，包括将其与控制服务器的通信托管在公共云服务上，并使用隐写术隐藏主要恶意模块。@卡巴斯基的研究人员发现了一系列针对被称为"蒙蒂斯特"的工业控股公司的高针对性攻击政府实体、外交官和电信运营商往往是APTs的首选目标，因为这些个人和机构自然拥有大量高度机密和政治敏感的信息。更罕见的是针对工业实体的有针对性的间谍活动，但与其他针对工业的攻击一样，它们可能会给企业带来毁灭性的后果。为了进行间谍活动，蒙蒂斯特部署了一个由四个模块组成的恶意软件程序。第一个是loader，返利机器人是真的吗，最初是使用rarsfx文件（自解压档案）来传播的，这些文件包含与员工的联系人名单、技术文档和医疗分析结果相关的姓名，游戏返利，以诱使员工下载这些文件。加载程序主要负责确保系统上没有检测到恶意软件。为此，它部署了一种称为隐写术的技术。隐写术被参与者用来隐藏正在交换数据的事实。在montythree中，主要的恶意负载被伪装成位图（一种存储数字图像的格式）文件。如果输入正确的命令，加载程序将使用定制算法从像素数组中解密内容并运行恶意负载。主要的恶意负载使用自己的几种加密技术来逃避检测，即使用RSA算法加密与控制服务器的通信并解密从恶意软件分配的主要"任务"。这包括搜索具有特定扩展名和特定公司目录的文档。Montythree专门针对Microsoft和Adobe Acrobat文档而设计。它还可以捕获屏幕截图和目标的"指纹"（即收集有关其网络设置、主机名等的信息）以查看攻击者是否感兴趣。收集到的信息和与控制服务器的其他通信将托管在公共云服务上，如Google、Microsoft和Dropbox。这使得通信流量很难被检测为恶意的，而且由于没有防病毒软件阻止这些服务，它确保了控制服务器可以不间断地执行命令。montythree还使用了一种简单的方法来获得受感染系统的持久性：Windows快速启动的修改器。用户在使用快速启动工具栏时，每次运行合法应用程序（如浏览器）时，都会无意中自行运行恶意软件的初始模块。卡巴斯基没有发现恶意代码或基础设施与任何已知的APT有任何相似之处。卡巴斯基全球研究与分析团队的高级安全研究员丹尼斯·勒格佐评论道："蒙蒂斯里之所以有趣，不仅仅是因为它瞄准的是工业控股公司，北京大数据公司有哪些，而是因为它结合了复杂且有点‘业余’的TTP。"一般来说，复杂程度因模块而异，但无法与最先进的APT相比。然而，他们使用了强大的加密标准，而且确实做出了一些有技术头脑的决定，包括定制的隐写术。或许最重要的是，很明显，攻击者在开发Montythree工具集方面付出了巨大努力，这表明他们的目标是坚定的，这不是一场短命的战役。"在Securelist上了解有关montythree的更多信息。有关与该组有关的妥协指标的详细信息，包括文件哈希，可以在卡巴斯基威胁情报门户网站上访问。注册SAS@家庭要观看有关Montythree的演示文稿，并在此处了解有关APT和顶级网络安全发现的更多信息：https://kas.pr/tr59关于卡巴斯基卡巴斯基是一家全球性的网络安全公司，成立于1997年。卡巴斯基的深度威胁情报和安全专业知识不断转化为创新的安全解决方案和服务，以保护全球各地的企业、关键基础设施、政府和消费者。该公司全面的安全产品组合包括领先的端点保护和一些专门的安全解决方案和服务，以应对复杂和不断发展的数字威胁。超过4亿用户受到卡巴斯基技术的保护，我们帮助27万企业客户保护对他们最重要的东西。了解更多信息，请访问美国卡巴斯基网站.