报告：黑客组织Outlaw升级恶意软件以图牟利

网络安全公司Trend Micro检测到，黑客组织Outlaw目前已更新升级其窃取企业数据的工具包，距今已近半年时间。

2月10日，Trend Micro发布的一份分析报告显示，去年6月以来表面上一直保持沉默的不法分子在12月再次活跃起来，他们的工具包功能得到了升级，现在瞄准了更多的系统。这些工具包的目的是窃取汽车和金融行业的数据。

工具包的新功能

该团伙所取得的新进展包括扫描器参数和目标、用于扫描器活动的领先性突破技术、通过清除竞争对手和他们自己早期的矿工等提高挖矿的收益。

据分析，新的工具包攻击了基于Linux和Unix的操作系统、易受攻击的服务器和物联网设备。黑客还使用了简单的基于PHP的web shell——上传到服务器上的恶意脚本，目的是为攻击者提供对设备的远程访问和管理权限。分析进一步说明：

“虽然在本次活动中未观察到由网络钓鱼或社工发起的常规化程序，但我们发现网络上存在多个被视为“响亮”的攻击。这些攻击涉及故意从命令和控制（C&C）服务器启动的IP范围的大规模扫描操作。蜜网图（honeynet graphs）显示了与特定行为相关的活动峰值，表明这种扫描是定时的。”

攻击发起的初始位置

攻击表面上是从一个寻找易受攻击设备的虚拟专用服务器（VPS）开始发起的。博文中写道：“一旦感染，C&C为被感染系统发出的命令会发出一个响亮的扫描活动，并通过立即发送一个“整套”二进制文件来传播僵尸网络，这些文件的命名约定与目标主机中已有的相同，很可能是指望通过‘隐藏安全’的方式来突破。”。

通过新的工具，不法分子表面上利用以前开发的代码，脚本和命令。该组织还使用大量的IP地址输入项作为按国家分组的扫描活动的方式。这显然表示他们能够在一年中的特定时期内攻击特定地区。

黑客工具进步

早在今年6月，Trend Micro就声称检测到一个网站通过一个后门在传播一个僵尸网络，其特征就是包含一个门罗币（XMR）挖矿组件。该公司将恶意软件归类为非法软件，因为其所采用的技术几乎与以前的操作相同。

该软件还配备了分布式拒绝服务（DDoS）功能，“允许网络罪犯通过加密货币挖矿以及提供DDoS出租服务来赚钱”.

今年1月，据称由朝鲜政府赞助的拉扎鲁斯（Lazarus）黑客组织部署了新型病毒来窃取加密货币。该组织一直在使用一个被改进后的名为QtBitcoinTrader的开源加密货币交易接口来传播和执行这款被称为“Operation AppleJeus”的恶意代码.