近日�����,據(jù)騰訊御見威脅情報中心監(jiān)測發(fā)現(xiàn)��,伊朗的APT組織——“人面馬”(T-APT-05)再度活躍����。該組織在2017年12月7日被FireEye披露后����,在短短一個多月的時間內連續(xù)發(fā)起5次攻擊活動,主要攻擊目標集中在中東地區(qū)的政府����、金融、能源��、電信等行業(yè)用戶。
目前該攻擊雖然尚未在國內地區(qū)發(fā)現(xiàn)��,但同樣不可放松警惕�����。騰訊電腦管家提醒國內用戶警惕來歷不明的郵件�,保持騰訊電腦管家等安全軟件開啟裝填�,抵御不法分子的攻擊。
“人面馬”組織(T-APT-05)��,又稱APT34�、Oilrig、Cobalt Gypsy�,是一個來自于伊朗的APT組織。該組織武器庫齊全����,基礎設施資源豐富,技術強大�����,當今最新的漏洞及其它最新的攻擊技術都會被利用�。本次攻擊活動主要通過魚叉釣魚發(fā)起攻擊,將木馬病毒植入office文檔、chm幫助文檔等誘餌文件��,并通過訂單信息等郵件內容和政治敏感內容誘導收件人打開查看��。攻擊者竊取的用戶信息�,比如瀏覽器保存的賬號密碼、鍵盤和鼠標記錄�����、攝像頭拍照或錄制視頻����、麥克風錄制聲音、系統(tǒng)信息等敏感信息���,竊取加密貨幣錢包中的密鑰和vpn憑證等��,令中招用戶遭遇隱私泄露甚至是嚴重的財產損失��。
通過分析近期的幾次攻擊活動���,騰訊御見威脅情報中心指出,該組織不止攻擊武器庫一直在不斷地進行升級����,攻擊手法也越來越高明����,從最初容易檢出的樣本到發(fā)展到今天殺毒軟件極難檢測的腳本木馬及jar版木馬��,甚至還包括chm文件藏毒�、word藏毒、漏洞利用�����、釣魚攻擊���、dns tunneling技術等手段,無所不用其極��。即使被曝光后某些技術手段失效���,但是只要被攻擊目標存在價值��,攻擊組織的行動就會持續(xù)���。
(圖:“人面馬”某個誘餌文件的主要攻擊流程)
騰訊電腦管安全專家、騰訊安全反病毒實驗室負責人馬勁松建議廣大用戶,不要輕易點擊來歷不明的文件���,可通過騰訊電腦管家詐騙信息查詢窗口和騰訊哈勃分析系統(tǒng)進行安全檢測�。此外�,對于企業(yè)用戶,可通過騰訊安全“御界防APT郵件網關”��,解決惡意郵件的攻擊威脅����。
京公網安備 11010502041587號