卡巴斯基實驗室全球研究和分析團(tuán)隊（GReAT）發(fā)現(xiàn)多個來自一種之前未知的木馬的感染案例，這種木馬很可能與臭名昭彰的使用中文的威脅攻擊組織——LuckyMouse有關(guān)。這種惡意軟件最不同尋常的特點是其采用了精心挑選的驅(qū)動程序，使用合法的數(shù)字簽名進(jìn)行簽名。其所用的數(shù)字簽名來自一家開發(fā)信息安全相關(guān)軟件的公司。

LuckyMouse威脅組織以針對全球大型組織的針對性攻擊而聞名。該威脅組織的活動對整個地區(qū)都構(gòu)成威脅，包括東南亞和中亞，因為他們的攻擊似乎有政治目的。根據(jù)受害者特征和該威脅組織之前的攻擊媒介來判斷，卡巴斯基實驗室研究人員認(rèn)為他們檢測到的這種木馬被用于國家支持的網(wǎng)絡(luò)間諜攻擊活動。

卡巴斯基實驗室專家發(fā)現(xiàn)的這種木馬通過威脅攻擊者制作的驅(qū)動程序感染目標(biāo)計算機(jī)。這允許攻擊者執(zhí)行所有常用任務(wù)如執(zhí)行命令、下載和上傳文件以及攔截網(wǎng)絡(luò)流量。

這個驅(qū)動程序成為這次攻擊行動最有趣的部分。為了讓其看上去值得信賴，該威脅組織很顯然竊取了一個數(shù)字證書，其本來屬于一家開發(fā)信息安全相關(guān)軟件的公司，使用盜竊的證書來為惡意軟件進(jìn)行簽名。這樣做的目的是試圖躲避安全解決方案的檢測，因為合法的數(shù)字證書讓惡意軟件看上去更像合法軟件。

該驅(qū)動程序另一個值得注意的特征是盡管LockyMouse有能力制作自己的惡意軟件，但在攻擊中使用的惡意軟件似乎是來自公共可獲取到的公共軟件庫中代碼樣本和自定義惡意軟件的組合。這種簡單地使用現(xiàn)成的第三方代碼，而非編寫自己的原始代碼的原因是節(jié)省開發(fā)人員時間，還可以讓確認(rèn)惡意軟件歸屬變得更困難。

卡巴斯基實驗室安全研究員Denis Legezo說：“每次出現(xiàn)最新的LuckyMouse攻擊行動時，幾乎都會碰上高調(diào)的政治事件，攻擊的時機(jī)通常都會在全球領(lǐng)袖召開會議之前。威脅組織并不擔(dān)心安全研究人員發(fā)現(xiàn)其惡意軟件的歸屬——因為他們在使用的惡意軟件中部署了第三方代碼樣本，對他們來說，在釋放器中添加另一層并不費時間，或者為惡意軟件開發(fā)一個新的變種，確保其不易被追蹤”。

卡巴斯基實驗室之前曾經(jīng)報告過LuckyMouse攻擊組織對國家數(shù)據(jù)中心實施攻擊，以實現(xiàn)國家級別的水坑式攻擊行動。

如何保護(hù)自己：

· 不要輕易相信運行在系統(tǒng)上的代碼。數(shù)字證書也不能保證所使用的代碼中不包含后門程序。

· 使用具備惡意行為檢測技術(shù)的安全解決方案，這種技術(shù)甚至能夠發(fā)現(xiàn)之前未知的威脅。

· 為您的企業(yè)或組織的安全團(tuán)隊訂閱高品質(zhì)的威脅情報報告服務(wù)，從而可以較了解復(fù)雜的威脅組織近期所使用的攻擊策略、技巧和步驟。