“Karkoff”是一款新的“DNSpionage”，采用选择性瞄准策略

DNSpionage攻击于去年11月首次被发现，它使用泄露的网站和精心编制的恶意文件，用病毒感染受害者的计算机DNSpionage—一种自定义远程管理工具，使用HTTP和DNS通信与攻击者控制的命令和控制服务器通信。

根据思科塔罗斯威胁研究团队发布的一份新报告，该集团已采用一些新的战术、技术和程序来提高其运营效率，使其网络攻击更具针对性、组织性和复杂性。

与之前的活动不同，攻击者现在已经开始对受害者进行侦察，然后用一种名为卡科夫，让他们有选择地选择感染哪些目标，以便不被发现。

“我们发现了DNSpionage和Karkoff案例中的基础设施重叠，”研究人员说。

在侦察阶段，攻击者收集与工作站环境、操作系统、域以及受害者机器上正在运行的进程列表相关的系统信息。

研究人员说：“恶意软件搜索两个特定的反病毒平台：Avira和Avast。如果系统上安装了其中一个安全产品，并在侦察阶段识别，将设置一个特定的标志，并且配置文件中的一些选项将被忽略”。

发展于。NET，Karkoff允许攻击者从其C&amp；C服务器。Cisco Talos在本月早些时候将Karkoff识别为非法恶意软件。

有趣的是，Karkoff恶意软件会在受害者的系统上生成一个日志文件，其中包含它执行的所有命令的列表，并带有时间戳。

研究人员解释说：“这个日志文件可以很容易地用来创建命令执行的时间线，这在应对此类威胁时非常有用”。“考虑到这一点，受此恶意软件危害的组织将有机会查看日志文件，并识别针对他们执行的命令”。

与上次的DNSpionage战役一样，最近发现的袭击也针对中东地区，包括黎巴嫩和阿拉伯联合酋长国（阿联酋）。

除了禁用宏和使用可靠的防病毒软件外，最重要的是要保持警惕，让自己了解社会工程技术，以降低成为此类攻击受害者的风险。

由于几起DNS劫持攻击的公开报道，美国国土安全部（DHS）今年早些时候向所有联邦机构发布了一项“紧急指令”，命令IT人员审计各自网站域或其他机构管理域的DNS记录。