来自微软的安全专家于近期揭露了一场主要针对美国发起的鱼叉式网络钓鱼活动,其目标包括公共机构和非政府组织,如智库、研究中心和教育机构,以及石油、天然气、化工以及医疗行业的私营企业。
其他第三方安全专家分析认为,这场活动是俄罗斯黑客组织APT 29(CozyBear,“舒适熊”)发起的,该组织也被微软称之为YTTRIUM。但截止到目前为止,微软的安全专家表示,他们还没有足够的证据可以用来证明APT 29就是幕后黑手。
根据微软安全专家的说法,这场活动开始于上个月14日早间。攻击所针对的目标主要是那些参与政策制定或在政治领域有一定影响力的机构,具体行业分布情况如下:
虽然这场网络钓鱼活动的攻击目标分散于全球各地,但主要集中在美国(尤其是华盛顿周边)。其他目标则主要集中在欧洲、中国香港、印度和加拿大。
鱼叉式钓鱼电子邮件伪装成通过OneDrive(微软云存储服务)分享的通知,以美国国务院工作人员的身份发出。如果收件人点击了电子邮件中链接,那么也就启动了整个攻击链,最终导致一个DLL后门被安装,使得攻击者可以远程访问受感染设备。
安全专家表示,钓鱼电子邮件所包含的链接(hxxps://www.jmj.com/personal/nauerthn_state_gov/TUJE7QJl [随机字符串])原本是合法的,但似乎已经受到感染。攻击者使用随机字符串来识别点击了该链接的不同目标,收件人最终都会被重定向到一个相同的链接——hxxps://www.jmj.com/personal/nauerthn_state_gov/VFVKRTdRSm,进而导致一个包含Cobalt Strike的zip压缩文件被下载,以安装上述DLL后门。
这里需要指出的是,CobaltStrike原本是一款功能丰富的渗透测试工具,但也允许远程攻击者执行多种恶意操作,包括提升权限、捕获用户输入、通过PowerShell或WMI执行任意命令、执行侦察、通过不同协议与C2服务器通信,以及下载和安装恶意软件等。
微软的安全专家建议,想要避免遭受此类网络钓鱼攻击的侵害,用户最好不要随意点击电子邮件中的任何可疑链接,无论是在工作环境中还是在家里。即使这些电子邮件来自你信任的人,最好也先通过电话进行身份确认。
在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。
美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。
根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。
获取安全动态