“潮虫”黑客团队（Sowbug）

一个之前默默无闻的黑客及网络间谍团队近日被发现。该团队自2015年以来对南美及东南亚的许多政府组织机构进行了许多次高度定向攻击以获取其敏感资料。

这个代号“潮虫”的黑客团队是被Symantec公司安全研究者曝光的。研究者们发现这个团队正在进行对国外政策机构、政府组织以及外交目标进行攻击，目标包括阿根廷，巴西，厄瓜多尔，秘鲁以及马来西亚。

Symantec分析发现，“潮虫”黑客团队使用一个被称为“Felismus”的恶意软件来攻击并渗透他们的目标。Felismus在今年三月下旬第一次被辨识出，这是一个复杂的，编写精妙的远程访问木马（RAT）。它有着模块化的结构，使其能够隐藏起来并延展它的功能。同大部分远程访问木马相同，Felismus能够让不法分子完全地操控一个被感染的系统，与此同时，还能够使攻击者与远程服务器进行交互，下载文件，执行shell命令。

解析Felismus

通过对Felismus的分析，研究者们获取到了潮虫团队之前攻击行动的相关信息，并断言至少在2015年初，潮虫团队就开始活跃了，而实际的时间很可能还要更早。

Symantec的报告中提到，

通过对过往黑客行为的分析，潮虫团队似乎主要目标是位于南美洲以及东南亚的政府机构，并且他们已经成功渗透进了阿根廷，巴西，厄瓜多尔，秘鲁，文莱以及马来西亚的相关组织。这个团队实力雄厚有备而来，能够同时持续对多个目标进行渗透攻击，并且经常是在受攻击组织的工作时间之外采取行动。

虽然还不清楚潮虫团队是如何在网络中安插进第一枚棋子的，研究者们根据目前收集到的证据推测黑客们可能是利用虚假的Windows或Adobe Reader升级补丁来进行首次侵入。研究者们发现，该团队使用一种叫做Starloader的工具，在受害组织的网络中部署额外的恶意软件与工具，例如凭证废除工具以及键盘记录器。Starloader的文件被伪装成无害的文件并被命名为AdobeUpdate.exe, AcrobatUpdate.exe,以及 INTELUPDATE.EXE等等。这些文件并没有影响到其他软件的运行，看起来也和系统所必需的文件十分相似，并且被生成在合法文件该出现的位置，导致很容易被误认为合法软件。由于这样几乎不会引起察觉，黑客得以在众目睽睽之下入侵。

潮虫团队的黑客们在被侵入组织的标准工作时间之外才进行他们的间谍行动，正因为这样，他们能够在目标的网络之中潜伏数月之久。在某一次入侵中，潮虫团队在2016年的9月至2017年3月这六个月间都未被察觉。

除了在入侵时会使用Felismus之外，我们目前仍尚未明确潮虫团队黑客的其他手段特征。