据外媒报道,McAfee Labs于近日揭露了一场被其命名为“Sharpshooter(狙击手)”的全球性网络钓鱼活动。攻击者试图利用虚假招聘文件向多个国家的国防和关键基础设施建设企业的网络系统植入后门,其最终目的很可能是为了开展进一步的网络间谍活动。
来自McAfee Labs的安全专家Ryan Sherstobitoff和Asheer Malhotra在本周三发布的一份分析报告中指出,在今年10月和11月期间,至少有87个组织感染了被命名为“Rising Sun”的后门,主要集中在美国。除了上述组织之外,其他攻击目标还包括金融、医疗保健和电信等行业的企业,以及一些政府机构。
网络钓鱼活动开始于10月25日,电子邮件是由一个美国IP地址发送的。电子邮件附件是一份Microsoft Word文档,伪装成与招聘相关的文件。“这些文件包含一个恶意宏,它会利用内嵌的shellcode将Sharpshooter下载程序注入到Word内存中。” McAfee Labs的报告解释说,“一旦Word进程被感染,下载程序就会开始检索并将Rising Sun植入到目标系统中。”
McAfee Labs将Rising Sun描述为一款“功能齐全的模块化后门”,通过HTTP POST请求与其C2服务器进行通信。具体而言,Rising Sun拥有14种不同的后门功能,包括收集、加密和泄露主机信息(如用户名、计算机名、IP地址等),杀死进程,读/写/删除文件,连接到IP地址和更改文件属性。
分析表明,Rising Sun借用了另一种木马病毒Duuzer的源代码,而该木马被普遍认为归属于一个朝鲜黑客组织――“Lazarus(拉撒路)”。该组织自 2009 年以来一直处于活跃状态,且据推测其早在2007年就已经涉足摧毁数据及破坏系统的网络间谍活动,并被指与2014年索尼影业遭黑客攻击事件以及2016年孟加拉国银行数据泄露事件有关。
Rising Sun和Duuzer不仅拥有很多相同的功能,而且在库的命名上也存在相似性,Rising Sun所使用的动态API解析技术也在之前Lazarus使用的恶意软件中出现过。不仅如此,“狙击手”行动所使用的许多战术、技术和流程也与Lazarus在2017年针对美国国防和能源行业的攻击活动相似。此外,“狙击手”行动的网络钓鱼文档虽然是采用英文编写的,但却是在朝鲜语环境中创建的。
虽然存在这些线索,但McAfee Labs并没有直接将“狙击手”行动归因于Lazarus,因为他们怀疑这些线索也有可能是由其他黑客组织故意留下的,用于混淆研究人员的视线。“‘狙击手’行动与Lazarus众多技术之间的联系似乎太过明显,我们无法立即得出他们应对此次行动负责的结论。相反,这些线索可能都是攻击者抛出的‘烟雾弹’。”McAfee Labs在其报告中这样写道。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。
