近日,據(jù)騰訊御見威脅情報中心監(jiān)測發(fā)現(xiàn)��,伊朗的APT組織——“人面馬”(T-APT-05)再度活躍。該組織在2017年12月7日被FireEye披露后����,在短短一個多月的時間內(nèi)連續(xù)發(fā)起5次攻擊活動,主要攻擊目標(biāo)集中在中東地區(qū)的政府���、金融��、能源�、電信等行業(yè)用戶�。
目前該攻擊雖然尚未在國內(nèi)地區(qū)發(fā)現(xiàn),但同樣不可放松警惕����。騰訊電腦管家提醒國內(nèi)用戶警惕來歷不明的郵件,保持騰訊電腦管家等安全軟件開啟裝填��,抵御不法分子的攻擊���。
“人面馬”組織(T-APT-05)����,又稱APT34��、Oilrig、Cobalt Gypsy����,是一個來自于伊朗的APT組織。該組織武器庫齊全�,基礎(chǔ)設(shè)施資源豐富���,技術(shù)強(qiáng)大��,當(dāng)今最新的漏洞及其它最新的攻擊技術(shù)都會被利用���。本次攻擊活動主要通過魚叉釣魚發(fā)起攻擊,將木馬病毒植入office文檔����、chm幫助文檔等誘餌文件,并通過訂單信息等郵件內(nèi)容和政治敏感內(nèi)容誘導(dǎo)收件人打開查看�。攻擊者竊取的用戶信息,比如瀏覽器保存的賬號密碼����、鍵盤和鼠標(biāo)記錄、攝像頭拍照或錄制視頻�、麥克風(fēng)錄制聲音����、系統(tǒng)信息等敏感信息��,竊取加密貨幣錢包中的密鑰和vpn憑證等���,令中招用戶遭遇隱私泄露甚至是嚴(yán)重的財產(chǎn)損失���。
通過分析近期的幾次攻擊活動,騰訊御見威脅情報中心指出�����,該組織不止攻擊武器庫一直在不斷地進(jìn)行升級�,攻擊手法也越來越高明,從最初容易檢出的樣本到發(fā)展到今天殺毒軟件極難檢測的腳本木馬及jar版木馬���,甚至還包括chm文件藏毒��、word藏毒�、漏洞利用����、釣魚攻擊��、dns tunneling技術(shù)等手段���,無所不用其極。即使被曝光后某些技術(shù)手段失效��,但是只要被攻擊目標(biāo)存在價值��,攻擊組織的行動就會持續(xù)���。
(圖:“人面馬”某個誘餌文件的主要攻擊流程)
騰訊電腦管安全專家、騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松建議廣大用戶���,不要輕易點(diǎn)擊來歷不明的文件�,可通過騰訊電腦管家詐騙信息查詢窗口和騰訊哈勃分析系統(tǒng)進(jìn)行安全檢測�。此外,對于企業(yè)用戶���,可通過騰訊安全“御界防APT郵件網(wǎng)關(guān)”���,解決惡意郵件的攻擊威脅。
文章內(nèi)容僅供閱讀�����,不構(gòu)成投資建議,請謹(jǐn)慎對待���。投資者據(jù)此操作�,風(fēng)險自擔(dān)�����。
京公網(wǎng)安備 11010502041587號