黑客攻击新目标——政府凭证

来源:MottoIN2019.06.20

亚洲逐渐成为网络犯罪分子的高科技犯罪目标,而其中新加坡受到的关注越来越多。在过去两年中,包括银行卡和政府凭证在内的被盗用户信息在暗网上出售的情况时有发生。

新加坡公共以及私营部门数据泄露的趋势也越来越明显,2018年,该国境内银行因网络攻击而造成的损失高达640,000美元。

银行是攻击的重点,这一点毋庸置疑,但政府登录信息泄露为网络犯罪分子打开了新的大门。虽然这些数据可能不会被用于从代理机构窃取资金,但可能会被用于政治或间谍活动。

俄罗斯网络安全公司Group-IB表示,不少新加坡机构网站,例如政府科技局(GovTech)、新加坡教育部、新加坡卫生部、新加坡警察部队和新加坡国立大学的学习管理系统都被黑客入侵。

这些账户的泄露很可能导致内部操作中断,还可能被用于间谍活动或破坏活动泄露政府机密,用来对新加坡的政府机构进行网络攻击。

据称朝鲜黑客组织Lazarus应对此负责

去年6月,超过100万名SingHealth病人的个人数据在新加坡最严重的网络攻击中被盗。2019年1月,黑客暴露了来自卫生部艾滋病登记处的14,200名患者的个人数据。上个月,大约80万名献血者的数据也被泄露。

在一篇新闻中,Group-IB首席技术官和威胁情报部门负责人Dmitry Volkov指责朝鲜黑客组织“Lazarus”,称该组织应该对最近的攻击负责。

Volkov表示该组织使用了一种名为RATv3.ps的新型恶意软件,它可以通过shell下载执行程序和命令、录屏、充当键盘记录器来收集密码、创建以及修改文件以及将代码注入其他进程。

由于恶意软件的性质,所以不可能同时停止攻击。最好能在攻击之前进行预防。新加坡政府在今年1月已经意识到了问题的存在。在所有被盗取的网络证书中,有大约5万个证书是政府机构的邮箱地址和密码。所幸这5万个邮箱大部分都是过期或伪造的地址,只有119个目前仍旧在使用中。

黑客使用强大的特洛伊木马

Pony Formgrabber、AZORult和QBot是网络犯罪分子使用的一些程序。

Pony Formgrabber能够从目标用户设备上的程序中获取数据库、配置文件和隐藏存储的详细信息,然后将信息共享给黑客运营的服务器。

AZORult能够从浏览器窃取加密钱包数据和密码。

Qbot会访问浏览器的密码管理器,窃取缓存的用户名和密码,借助这些信息和从网络流量中获取的证书,攻击者可以进入FTP服务器,使用渗透代码工具包感染其他网站,来传播该恶意软件。Qbot中还存在一个后门功能,攻击者可以获取敏感数据和知识产权,破坏基础设施,向组织中植入更复杂的恶意软件。

网络犯罪分子的新方向

政府登录凭证在暗网中并不常见,然而,Group-IB最近发现,在过去的12个月中有30多个国家的政府网站数据被泄露。

除了普通的黑客外,这些信息对专门从事间谍活动和破坏活动的APT(高级持续威胁)组织很有价值。预计全球共有40个国家赞助的黑客组织,据说超过一半的组织活跃在亚太地区。

尽管黑客使用网络钓鱼等方法来获得关键基础网络设施的访问权限,但Group-IB推测此类攻击的重点可能转变为提供网络互联网连接的弱网络设备。

Group-IB预测涉及重要政府凭证的信息泄漏事件,如最近新加坡政府系统信息泄露,在未来几年肯定会越来越多。

 

消息来源:http://www.mottoin.com/detail/3847.html

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态