- A+
专家们发现了针对数十个致力于防御和其他关键任务的组织的网络攻击活动
国际网络安全研究所的数字取证专家报告说,针对全球关键基础设施公司的黑客攻击活动已经出现。 这项名为Operation Sharpshooter的活动背后的黑客正在部署与Lazarus黑客组织相关的恶意软件,该组织是2014年针对索尼的网络攻击背后的组织。
首次发现此活动的数字取证和网络安全专家认为,恶意行为者可能正在收集有关多个国家情报活动的信息,目的是规划未来针对核,精力充沛,金融和国防组织的网络攻击。
据专家介绍,在这次行动中,黑客利用记忆中的植入物来卸载和恢复第二阶段植入物,以便以后使用。 “在去年10月和11月期间, 瑞星植入物开始出现在世界各地的组织中,主要是在美国,”专家在他们的分析中提到。
“与其他类似的网络攻击活动一样,讲英语的组织和讲英语的地区办事处也会在神枪手行动中受到攻击。 该活动的运营商一直致力于收集有关人员或管理相关数据的组织的信息。“
这些攻击者正在进行多次网络钓鱼攻击,发送一个链接,将受害者重定向到受感染的Word文件,据称是由人为因素招募人员发送的。 受害者收到的信息是用英文写的,描述了不存在公司的工作。 附加到文档的URL与位于美国和Dropbox文档管理平台的IP地址相关联。
恶意Word文档中包含的宏使用内置的shell代码将Sharpshooter下载软件注入Word内存。 根据数字取证专家的说法,Macros作为Rising Sun植入物的下载程序,第二阶段植入物在内存中运行并收集有关受害者机器的信息。 Rising Sun包含许多后门功能,包括杀死进程和覆盖磁盘上文件的功能。
将二进制文件下载到Startup文件夹中以获得受感染系统的持久性。 专家指出,活动运营商还从控制服务器下载第二个Word文档,他们认为这些文档用作隐藏恶意程序的诱饵。
专家指出,Rising Sun种植体使用了Trojan Duuzer的源代码,这是黑客Lazarus在攻击Sony Pictures时使用的后门。 此外,专家还发现了针对索尼的攻击活动的其他相似之处; 例如,用于分发Rising Sun恶意负载的文档包含指示它是使用韩语版Word创建的元数据。 最后,专家们认为,神枪手操作的操作员也可能留下虚假的痕迹来阻碍警察机构的运作。
