专家发现美国联邦机构网络上部署了后门

一个与国际权利有关的美国联邦政府委员会被一个后门攻击，据报道，该后门破坏了其内部网络，研究人员称这是“典型的APT类型操作”

捷克安全公司Avast在上周发布的一份报告中表示：“此次攻击本可以让网络完全可见，并完全控制一个系统，因此可以作为多阶段攻击的第一步，更深入地渗透该网络或其他网络。”

联邦实体的名称没有披露，但Ars Technica的报告和记录将其与美国国际宗教自由委员会（USCIRF）联系起来。Avast表示，在试图直接向该机构通报入侵事件失败后，并通过美国政府设立的其他渠道公布了调查结果

在这个阶段，只发现了“攻击谜题的一部分”，这为许多未知因素打开了大门，包括用于破坏网络的初始访问向量的性质、参与者采取的攻击后行动的顺序，以及妥协本身的整体影响

已知的是，攻击分两个阶段进行，以部署两个恶意二进制文件，其中第一个可能使身份不明的对手能够拦截互联网流量并执行他们选择的代码，从而允许运营商完全控制受感染的系统。它通过滥用WinDivert来实现这一点，WinDivert是Windows的合法数据包捕获工具

有趣的是，这两个样本不仅伪装成一个名为“oci.dll”的Oracle库，而且发现在攻击期间部署的第二阶段解密程序与Trend Micro研究人员在2018年详细介绍的另一个可执行文件有相似之处，它深入研究了一场由信息盗窃驱动的供应链攻击，该攻击被称为“红色签名行动”，目标是韩国的组织。这些重叠导致Avast威胁情报团队怀疑攻击者可以访问后者的源代码

“有理由假定发生了某种形式的网络流量数据收集和过滤，但这是有根据的推测，”研究人员说。“尽管如此，我们无法确定这次袭击的规模和范围超出了我们所看到的。”