Group-IB:全球约有4万多个在线政务服务平台用户账户被盗

来源:黑客视界2019.06.20

俄罗斯网络安全公司 Group-IB于近日发布消息称,在过去一年半的时间里,网络犯罪分子利用间谍软件工具和网络钓鱼战术,从全球30多个国家/地区政府官方门户网站盗走了4万多个在线政务服务平台账户。

受害者主要来自意大利(52%)、沙特阿拉伯(22%)和葡萄牙(5%),这些账号可能会被用于在地下黑客论坛出售,也可能被用于有针对性的攻击,以窃取资金或窃取敏感信息。CERT-GIB(Group-IB的计算机应急响应小组)在确认此信息之后,立即与受影响国家的CERT进行了联系,以便减轻潜在的安全风险。

Group-IB表示,受影响的政府门户网站包括波兰(gov.pl)、罗马尼亚 (gov.ro)、瑞士  (admin.ch)、意大利国防部网站 (difesa.it)、 以色列国防军(idf.il)、保加利亚  (government.bg)、格鲁吉亚财政部(mof.ge)、挪威移民局(udi.no)、罗马尼亚和意大利外交部以及许多其他政府机构。

在法国(gouv.fr)、匈牙利(gov.hu)和克罗地亚(gov.hr)等政府门户网站拥有帐户的部分政府雇员、军人和平民同样都成为了一系列盗号事件的受害者。如上所述,在过去一年半的时间里,Group-IB的威胁情报系统总共检测到了来自全球30多个国家中的4万多个在线政务服务平台用户账户,其中以意大利、沙特阿拉伯和葡萄牙受影响最严重。

据Group-IB的安全专家介绍,网络犯罪分子使用了多种间谍软件来窃取用户账户数据,包括表格抓取器和键盘记录器,如Pony Formgrabber、AZORult和Qbot(Qakbot)。整个盗号过程从一封网络钓鱼电子邮件开始,它旨在传播恶意软件。恶意软件伪装成合法文档或压缩文件,作为附件添加在电子邮件中。一旦打开,它就会执行一个旨在窃取个人信息的木马。

例如,Pony Formgrabber就能够从受害者计算机上70多款软件的配置文件和数据库中检索登录凭证,然后将窃取的信息发送到由网络犯罪分子控制的C&C服务器。另一种木马AZORult,除了能够从大多数主流浏览器中窃取密码之外,还能窃取有关加密货币钱包的数据。Qbot蠕虫病毒能够利用键盘记录器来收集登录凭证、cookie文件和证书,以及活跃的互联网会话,并将用户重定向到虚假网站。

遭到盗取的用户账户数据通常会被按主题分类(银行客户数据、政府门户网站用户账户、电子邮箱用户名和密码组合),并在地下黑客论坛上出售。值得注意的是,政府网站的用户账号在地下黑客论坛上并不常见。往往购买这些信息的人都是一些网络犯罪分子,或专门从事破坏和间谍活动的APT组织。一旦黑客掌握了这些在线政务服务平台用户的身份,他们不仅可以从这些网站获取机密信息,还可以渗透到政府机构的网络中去。即使被盗的账户仅属于某个政府雇员,也可能会导致商业或国家机密遭到窃取。

CERT-GIB负责人Alexandr Kalinin表示:“与政府CERT之间的威胁情报数据交换对于打击全球网络犯罪来说是至关重要的。政府CERT可以提供快速的事件响应,并收集更多有关黑客TTP不断发展的信息。网络犯罪没有国界,无论是私人企业、国有企业、政府机构,甚至是普通公民都无法免于受影响。关于当前网络安全威胁的国际数据交换是全球稳定的支柱。”

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态