使用ThreatNeedle恶意软件攻击国防部门
|
的说法,他们在2020年中期首次观察到了这种攻击活动。这场攻击持续时间很长,网络攻击者在这里使用了带有COVID-19主题的电子邮件并结合了受害者的公开的个人信息,这样使得他们很容易上当受骗。 卡巴斯基研究人员Vyacheslav Kopeytsev和Seongsu Park在周四发表的一篇博客文章中表示,他们确定有十多个国家的组织在此次攻击中受到了影响。他们说,犯罪分子成功地窃取了敏感数据,并将其传输到了Lazazrus控制的远程服务器上。 研究人员表示,他们已经跟踪Manuscrypt(又名NukeSped)的高级恶意软件集群ThreatNeedle大约两年了,最后发现Lazarus APT是幕后指使者。 卡巴斯基称,根据恶意攻击的目标, 我们将Lazarus评选为2020年最活跃的网络犯罪团伙,因为这个臭名昭著的APT会针对各行各业进行攻击。 研究人员观察到,虽然此前该组织主要是在为金正恩政府争取资金,但现在其关注点已经转移到了网络间谍活动上。他们不仅针对国防部门进行攻击活动,而且还对其他行业进行攻击,如12月披露的窃取COVID-19疫苗信息的攻击事件和针对安全研究人员的攻击事件。 研究人员仔细研究了最新攻击活动的整个过程,他们说这有助于他们深入了解Lazarus的攻击特点,以及各个攻击活动之间的联系。研究人员说,该组织主要使用电子邮件进行攻击,邮件内容是关于COVID-19的,他们还会在邮件内容中提及受害者的个人信息,这样可以降低受害者的警惕性,也使邮件看起来更加合法合理。 卡巴斯基称,Lazarus在选择攻击目标之前已经做足了信息调查,但刚开始进行的鱼叉式钓鱼攻击进行的并不顺利。在发起攻击之前,该组织研究了目标组织的公开信息,并找到了该公司各部门的电子邮件地址。 研究人员表示,犯罪分子制作了有关COVID-19内容的钓鱼邮件,这些邮件要么附上了一个恶意的Word文档,或者包含了一个托管在远程服务器上的链接,这些恶意邮件都会发送到目标部门的各个电子邮件地址中。 Kopeytsev和Park说: 这些钓鱼邮件是精心制作的,邮件的署名是一个医疗中心,同时该医疗中心也是此次攻击的受害者。 为了使电子邮件看起来更加真实,攻击者在公共电子邮件服务中注册了账户,这样可以使发件人的电子邮件地址与医疗中心的真实电子邮件地址看起来很相似,同时在电子邮件签名中使用了被攻击的医疗中心副主任医生的个人资料。
然而,研究人员观察到这些攻击中存在一些失误。攻击的有效载荷被隐藏在了一个启用了宏的微软Word文档的附件中。然而,该文档的内容却是关于人口健 (编辑:大同站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
