扩大的网络安全威胁：伪造的高级IP扫描器工具

关键要点

• 伪造的网络管理员工具给攻击者提供了后门访问权限，影响至少80个全球组织。
• AdvancedIPSpyware的恶意版本通过伪造的网站传播，显然是通过盗用证书实现签名的。
• 该恶意软件没有针对特定实体或行业，可能与国有支持的恶意软件无关。
• 高级IP扫描器在网络发现中的广泛使用，使其成为攻击者的热门选择。

根据卡巴斯基（Kaspersky）的最新研究，一种伪造的流行工具——用于管理局域网的高级IP扫描器（Advanced IPScanner），为攻击者提供了后门访问权限，影响了全球至少80个组织。

恶意软件传播途径

近年来，软件供应链攻击在网络犯罪分子中越来越普遍，但在此案例中，研究人员表示，发现一个带后门的签名二进制文件是罕见的，AdvancedIPSpyware便是这种情况。很可能攻击者用来签名的证书是被盗用的。

卡巴斯基的研究员Jornt van der Wiel向SCMedia提到，通常大型组织使用高级IP扫描器为系统管理员提供网络概览，而对安全爱好者来说，则能了解家庭网络中设备的运行情况。“由于匿名化，我们无法看到哪些组织安装了这个后门版本的工具，”他说。“不过，鉴于高级IP扫描器的目标受众，我们有中等信心认为这个后门版本的目标受众与前者相同。”

报告指出，恶意软件托管在两个网站上，这两个网站的域名与合法的高级IP扫描器网站几乎相同，仅有一个字母不同。网站的外观相似，唯一的区别在于恶意网站上的“免费下载”按钮。

渗透范围与受害者

报告发现，恶意版本的工具已经感染了超过80个实体，地域广泛，包括西欧、拉丁美洲、非洲、南亚以及独立国家联合体内的国家。

虽然研究人员并没有提到北美的受害者，但van der Wiel告诉SC Media，可能是由于“有限的可见性”。

确实，Sophos的高级安全顾问John Shier告知SC Media，高级IP扫描器是一个受攻击者欢迎的工具，并且被许多美国组织使用。

“在我们的数据集中，这个工具的主要用途是网络发现，我们发现有21%的案例涉及此工具，而2020年这一比例为12%。该工具在23%的美国受害者中出现，”Shier在一封邮件中提到。

SC Media已向卡巴斯基询问有关恶意软件受害者的更多细节。

模块化架构与间谍活动

报告还指出，模块化架构是AdvancedIPSpyware的另一个显著特征。尽管通常与国家支持的恶意软件相关，但本次攻击并未针对特定实体或行业，这证实了AdvancedIPSpyware可能与政治动机的行动无关。

具体而言，卡巴斯基专家发现了，这些模块通过IPC（进程间通信）连接在一起： 1. 主模块，更新或删除自身 2. 命令执行模型，涉及典型的间谍功能 3. 网络通信模块，处理所有网络相关的任务

除了为受害者环境提供初始访问，这种带后门版本的工具是否可能成为“企业间谍活动”的犯罪版本也让Shier产生疑问。

“一个意想不到的副作用是，背后操控后门版本的犯罪分子现在可能无意中接触到了其他犯罪分子的受害者，这些受害者也在使用被木马程序化的版本，”Shier表示。