▌作者：Mohit Kumar

▌翻译：360代码卫士团队

这种恶意活动活跃于2016年，它这次使用的新后门Gazer用C++编写而成。它通过鱼叉式钓鱼邮件进行传播并通过两个步骤劫持目标计算机。首先，Gazer会释放Skipper后门（被指跟Turla黑客组织有关），然后安装Gazer组件。

在之前的网络监控活动中，Turla黑客组织将Carbon和Kazuar后门作为第二阶段使用的恶意软件。ESET认为这两个后门跟Gazer存在很多相似之处。

Gazer从一个远程C&C服务器接受加密命令并使用被攻陷的合法站点（多数使用WordPress CMS）作为代理躲避检测。Gazer使用的并非是Windows Crypto API，而是定制化的3DES和RSA加密库在发送前加密数据。而这正是Turla APT组织经常使用的技术。

Gazer使用代码注入技术控制及其并隐藏很长时间试图窃取信息。Gazer还能够从一个受感染端点接受命令并将其转发到位于同一网络的其它受感染机器。

截至目前，ESET研究人员已发现四种不同的Gazer变体，它们主要是监控位于东南欧地区和前苏联阵营的政治目标。有意思的是，Gazer之前的版本都是由Comodo颁发给“Solid Loop Ltd.”的有效证书签名；而最新版本是由颁发给“Ultimate Computer Support Ltd.”的SSL证书签名。

研究人员指出，Gazer已设法感染了全球范围内的大量目标，受害者主要位于欧洲。

卡巴斯基也发布了针对Gazer后门的几乎一致的详情，不过他们将这个APT组织命名为“白熊 (Whitebear)”。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。