2022年04月03日
AT&T 安全研究人员最近发现了一组极具隐蔽性的 ELF 可执行文件,它们在 VirusTotal 上的杀软检出率很低或为零。样本分析后,AT&T 已将它们确定为多个攻击者在多次攻击行动中使用的开源 PRISM 后门修改版。对使用这些恶意软件的攻击活动进行了深入分析,这些攻击者在三年半内仍然活跃。2017年 11 月 8 日出现了最早的攻击样本。WaterDrop 分析WaterDrop 的变种很容易识别,它包含一个名称 xencrypt该函数使用硬编码单字节 0x1F密钥执行