RSA本周公布了一个隐藏了数年之久的远程访问木马(RAT),目标是与跨国公司有联系的中国公民。
  这个远程访问木马名为“GlassRAT”(可译为玻璃老鼠),可避开大多数防病毒产品。研究人员认为,玻璃老鼠至少在2012年已部署在网上,由于它的droper(安装器)是用从中国软件厂商盗来的合法证书签名,一直到今年9月才被公共恶意软件数据库收录。
  玻璃老鼠具备典型的木马特征,包括用来帮助攻击者访问受感染设备的反向shell。RSA早于2015年2月份,在美国一家跨国公司的一次事件分析中,发现一台中国公民的计算机藏有这个木马。值得注意的是,玻璃老鼠的部分代码与影响力一个名为“Taidoor”的恶意软件非常相似。Taidoor首次现身于2008年,主要被网络间谍组织使用,目标是各国政府机构、企业和智库,尤其对台湾格外有兴趣。
  除了在代码上与其他恶意软件有相似性,玻璃老鼠还与一些大型网络间谍活动中用的恶意软件共用一些命令控制服务器,如Mirage、MagicFire,和PlugX这三种恶意软件。这些恶意软件的目标是亚太地区,包括菲律宾军方和蒙古政府。
  然而,由于目标对象的数量和级别比较小,再加上共享命令控制服务器的时期周期也相对较短,研究人员认为很可能玻璃老鼠的操控者出了点“小差错”。另一方面,也很可能是因为“是共享基础设施和开发者的大型机构的下级部门实施的这些网络间谍活动”。
  不同的APT攻击者使用部分相同的命令控制服务器等基础设施,这种事并不是没有过。卡巴斯基实验室在4月份披露的黑客组织Hellsing(地狱歌唱),也使用Mirage、PlayfullDragon,和Cycldek的命令控制服务器。