Gazer：一个新的后门目标是世界各地的部委和大使馆

ESET的安全研究人员发现了一个新的恶意软件活动，目标是世界各地的领事馆、部委和大使馆，以监视政府和外交官。

该恶意软件活动自2016年开始活跃，目前正在利用一个名为凝视者据信是由图拉高级持续威胁（APT）黑客组织实施的，该组织此前与俄罗斯情报部门有关联。

Gazer，用C++编写，后门通过矛式钓鱼电子邮件和劫持目标计算机两步和8212步；首先，恶意软件下降船长backdoor之前曾链接到Turla，然后安装Gazer组件。

根据ESET发布的研究[PDF]，在之前的网络间谍活动中，图拉黑客集团使用Carbon和Kazuar后门作为其第二阶段恶意软件，该软件与Gazer也有许多相似之处。

Gazer从远程命令和控制服务器接收加密命令，并通过使用受损的合法网站（主要使用WordPress CMS）作为代理来逃避检测。
Gazer没有使用Windows Crypto API，而是使用自定义3DES和RSA加密库对数据进行加密，然后再将其发送到C&；C服务器—；图拉APT集团采用的一种常见策略。

Gazer使用代码注入技术控制机器，并长时间隐藏自己，试图窃取信息。

Gazer backdoor还能够将一个受感染端点接收到的命令转发给同一网络上的其他受感染机器。

到目前为止，ESET的研究人员已经在野外发现了Gazer恶意软件的四种不同变体，主要用于监视东南欧和前苏联集团的政治目标。

有趣的是，Gazer的早期版本是由Comodo为“Solid Loop Ltd”颁发的有效证书签署的，而最新版本是由颁发给“Ultimate Computer Support Ltd”的SSL证书签署的

据研究人员称，Gazer已经成功感染了世界范围内的多个目标，其中大多数受害者位于欧洲。

与此同时，卡巴斯基实验室也发布了关于Gazer backdoor的几乎类似细节，但他们称之为“白熊”APT活动。