自2015年以来，新发现的“SowBug”网络间谍组织窃取外交机密

代号猪八哥赛门铁克安全研究人员发现该黑客组织对阿根廷、巴西、厄瓜多尔、秘鲁和马来西亚等国的外交政策机构、政府机构和外交目标进行秘密攻击。

赛门铁克分析发现，Sowbug黑客组织使用一个名为“Felismus”的恶意软件发动攻击，并渗透到他们的目标。

Felismus于今年3月底首次被发现，它是一款复杂、编写精良的远程访问特洛伊木马（RAT），具有模块化结构，允许后门特洛伊木马隐藏或扩展其功能。
该恶意软件允许恶意参与者完全控制受感染的系统，与大多数RAT一样，Felismus还允许攻击者与远程服务器通信、下载文件和执行shell命令。

通过分析Felismus，研究人员能够将之前的攻击活动与Sowbug黑客组织联系起来，表明该组织至少从2015年初开始活跃，可能更早就开始运作。

赛门铁克的报告称：“迄今为止，Sowbug似乎主要关注南美和东南亚的政府实体，并已渗透到阿根廷、巴西、厄瓜多尔、秘鲁、文莱和马来西亚的组织”。“该组织资源充足，能够同时渗透多个目标，经常在目标组织的工作时间之外开展活动。”

尽管尚不清楚Sowbug黑客是如何在计算机网络中站稳脚跟的，但研究人员收集的证据表明，黑客利用了Windows或Adobe Reader的虚假恶意软件更新。

研究人员还发现，该组织使用了名为Starloader的工具，在受害者的网络上部署了额外的恶意软件和工具，如凭证转储程序和键盘记录器。
赛门铁克的研究人员发现了Starloader文件作为名为AdobeUpdate的软件更新传播的证据。exe，更新。exe和INTELUPDATE。EXE等。

Sowbug没有损害软件本身，而是给出了其黑客工具的文件名“与软件使用的类似，并将它们放在目录树中，这可能会被误认为是合法软件使用的目录树。"

这一伎俩让黑客们可以藏在显而易见的地方，“因为他们的外表不太可能引起怀疑”。

Sowbug黑客采取了几项措施，在标准办公时间之外进行间谍活动，以保持目标网络上的存在数月。

在一个例子中，从2016年9月到2017年3月，该黑客组织在目标网络上长达六个月未被发现。

除了Sowbug操作中使用的Felismus恶意软件的分发方法外，Sowbug攻击者的身份也不得而知。