安全报告系统安全卡巴斯基实验室近日发现Adwind远程访问工具(RAT)实施的一系列大规模攻击。这种多功能后门程序被用来对超过100个国家和地区的1,500个企业和组织实施攻击。攻击影响了多个工业领域，包括零售和分享行业(20.1%)、建筑和施工行业(9.5%)、运输和物流行业(5.5%)、保险和法律服务行业(5%)以及咨询行业(5%)。

Adwind的受害者会收到假冒汇丰银行广告服务名义发送的电子邮件(这些邮件来自mail.hsbcnet.hsbc.com域名)，邮件中包含建议支付通知书附件。根据卡巴斯基实验室研究，这些域名的活动情况最早可以追溯到2013年。

这些邮件的附件中包含的是恶意软件，而非付款指南。如果目标用户打开了附件中的ZIP文件(其中包含JAR文件)，恶意软件就会自动及逆行安装，并试图同其命令和控制服务器进行通讯。这种恶意软件会让攻击者几乎获取被感染设备的完全控制权限，从受感染设备中窃取机密信息。

卡巴斯基安全网络(KSN)记录到的被攻击用户地理分布数据显示，攻击期内，有近一半的受害者(超过40%)来自以下十个国家：

 

根据卡巴斯基实验室研究，由于这些受害者中包含很高比例的企业，网络罪犯可能使用它特定的行业邮件列表对目标发动攻击。考虑到检测到的攻击数量，我们推测网络罪犯的攻击主要侧重攻击面和覆盖目标，并没有使用复杂的攻击技术。

 

2016年，卡巴斯基实验室发表了有关利用Adwind远程访问工具(RAT)实施攻击的报告 。Adwind是一种跨平台的多功能恶意软件，又被成为AlienSpy、Frutas、Unrecom、Sockrat、JSocket和jRat。这种恶意软件通过一个恶意软件服务平台进行传播。

Adwind RAT区别于其它商业恶意软件的主要特征在于其公开以付费服务的形式进行传播，“客户”可以支付一定的费用来使用这款恶意程序。

根据2013年至2016年的调查结果，不同版本的Adwind恶意软件被用于针对全球至少443,000名个人用户、商业机构和非商业组织实施攻击。

为了保护您自身以及您所在组织或企业抵御这种威胁，卡巴斯基实验室建议企业限制Java的应用，仅供那些隔离的，并且没有Java平台就无法运行的应用程序使用。就像金融操作一样，Java应用可以利用安全规则进行隔离。卡巴斯基实验室的解决方案提供范围广泛的应用控制功能，能够设置精细策略，在企业端点监控和控制特定应用的使用。

想要了解过去一年的金融威胁及其演化情况，请阅读我们的2016年金融网络威胁报告。

 

(责任编辑：安博涛)