卡巴斯基實(shí)驗(yàn)室全球研究和分析團(tuán)隊(duì)（GReAT）發(fā)現(xiàn)多個(gè)來(lái)自一種之前未知的木馬的感染案例，這種木馬很可能與臭名昭彰的使用中文的威脅攻擊組織——LuckyMouse有關(guān)。這種惡意軟件最不同尋常的特點(diǎn)是其采用了精心挑選的驅(qū)動(dòng)程序，使用合法的數(shù)字簽名進(jìn)行簽名。其所用的數(shù)字簽名來(lái)自一家開發(fā)信息安全相關(guān)軟件的公司。

LuckyMouse威脅組織以針對(duì)全球大型組織的針對(duì)性攻擊而聞名。該威脅組織的活動(dòng)對(duì)整個(gè)地區(qū)都構(gòu)成威脅，包括東南亞和中亞，因?yàn)樗麄兊墓羲坪跤姓文康?。根?jù)受害者特征和該威脅組織之前的攻擊媒介來(lái)判斷，卡巴斯基實(shí)驗(yàn)室研究人員認(rèn)為他們檢測(cè)到的這種木馬被用于國(guó)家支持的網(wǎng)絡(luò)間諜攻擊活動(dòng)。

卡巴斯基實(shí)驗(yàn)室專家發(fā)現(xiàn)的這種木馬通過威脅攻擊者制作的驅(qū)動(dòng)程序感染目標(biāo)計(jì)算機(jī)。這允許攻擊者執(zhí)行所有常用任務(wù)如執(zhí)行命令、下載和上傳文件以及攔截網(wǎng)絡(luò)流量。

這個(gè)驅(qū)動(dòng)程序成為這次攻擊行動(dòng)最有趣的部分。為了讓其看上去值得信賴，該威脅組織很顯然竊取了一個(gè)數(shù)字證書，其本來(lái)屬于一家開發(fā)信息安全相關(guān)軟件的公司，使用盜竊的證書來(lái)為惡意軟件進(jìn)行簽名。這樣做的目的是試圖躲避安全解決方案的檢測(cè)，因?yàn)楹戏ǖ臄?shù)字證書讓惡意軟件看上去更像合法軟件。

該驅(qū)動(dòng)程序另一個(gè)值得注意的特征是盡管LockyMouse有能力制作自己的惡意軟件，但在攻擊中使用的惡意軟件似乎是來(lái)自公共可獲取到的公共軟件庫(kù)中代碼樣本和自定義惡意軟件的組合。這種簡(jiǎn)單地使用現(xiàn)成的第三方代碼，而非編寫自己的原始代碼的原因是節(jié)省開發(fā)人員時(shí)間，還可以讓確認(rèn)惡意軟件歸屬變得更困難。

卡巴斯基實(shí)驗(yàn)室安全研究員Denis Legezo說：“每次出現(xiàn)最新的LuckyMouse攻擊行動(dòng)時(shí)，幾乎都會(huì)碰上高調(diào)的政治事件，攻擊的時(shí)機(jī)通常都會(huì)在全球領(lǐng)袖召開會(huì)議之前。威脅組織并不擔(dān)心安全研究人員發(fā)現(xiàn)其惡意軟件的歸屬——因?yàn)樗麄冊(cè)谑褂玫膼阂廛浖胁渴鹆说谌酱a樣本，對(duì)他們來(lái)說，在釋放器中添加另一層并不費(fèi)時(shí)間，或者為惡意軟件開發(fā)一個(gè)新的變種，確保其不易被追蹤”。

卡巴斯基實(shí)驗(yàn)室之前曾經(jīng)報(bào)告過LuckyMouse攻擊組織對(duì)國(guó)家數(shù)據(jù)中心實(shí)施攻擊，以實(shí)現(xiàn)國(guó)家級(jí)別的水坑式攻擊行動(dòng)。

如何保護(hù)自己：

· 不要輕易相信運(yùn)行在系統(tǒng)上的代碼。數(shù)字證書也不能保證所使用的代碼中不包含后門程序。

· 使用具備惡意行為檢測(cè)技術(shù)的安全解決方案，這種技術(shù)甚至能夠發(fā)現(xiàn)之前未知的威脅。

· 為您的企業(yè)或組織的安全團(tuán)隊(duì)訂閱高品質(zhì)的威脅情報(bào)報(bào)告服務(wù)，從而可以較了解復(fù)雜的威脅組織近期所使用的攻擊策略、技巧和步驟。