社会工程是一系列网络攻击所使用的核心技术,这意味着用户是防御这些攻击的关键。
安全公司迈克菲发现,针对政府、军事、能源和金融部门机构的恶意软件瞄准了24个国家,英国就是其中之一。
此次代号为“神枪手”(Operation Sharpshooter)的黑客行动在2018年的10月到11月期间,攻击了24个国家的大约100家公司。
“神枪手”通过伪装成招聘信息的网络钓鱼电子邮件,获取访问权限后,使用内存植入来下载一款名为“Rising Sun”的恶意程序,这是一个功能齐全的模块化后门,可在受害者的网络上进行侦察,以访问机器级信息,包括文档、用户名、网络配置和系统设置。
在2014年,索尼公司和韩国的一些公司遭遇了网络攻击,那次网络攻击使用的是一款名为Duuzer的木马后门,而Rising Sun就是这个后门的变体。
“神枪手”黑客行动与朝鲜黑客组织Lazarus有许多的技术联系,但迈克菲研究人员表示,现在下结论还为时过早,无法确定该组织对此次黑客行动负责,这可能只是一个嫁祸于人的做法。
在2018年10月和11月,研究人员在全球的87个公司中(美国的公司占多数)发现了Rising Sun植入式恶意程序,其中大多数目标公司要么是说英语,要么是在说英语的区域办公。
研究人员表示,这款新型、高功能的植入式恶意软件是黑客尝试从攻击目标获得情报的一个例子。
分析表明,该恶意软件分几步执行。初始的攻击载体是一个包含宏的文档,用于下载下一步攻击阶段,该阶段在内存中运行并收集情报。受害者的数据被发送到控制服务器以供攻击执行者监控,然后该执行者会确定接下来的步骤。
研究人员表示,目前尚不清楚他们观察到的攻击是否是第一阶段的侦察行动,并在接下来有更多的攻击行为。他们表示:“我们将会继续监控这一活动,并在我们或安全行业的其他人员获得更多信息时再做进一步汇报。”
迈克菲首席科学家兼研究员Raj Samani表示,“神枪手”黑客行动是复杂和针对性的攻击,用于为恶意行为执行者获取情报。
“然而,尽管很复杂,但这次黑客活动取决于某种程度上的社会工程,这种社会工程可以很容易地减少企业的警惕性和沟通。”他说道。
“企业必须找到合适的人员、流程和技术组合,以有效保护自己不受初始攻击,当有威胁出现时,对这一威胁进行检测;如果成为了攻击目标,那么就要快速纠正系统。”
网络钓鱼响应不足
反网络钓鱼培训公司Cofense的欧洲销售和工程总监David Mount表示,该公司的调查显示,78%接受调查的欧洲公司都曾经历过因一封诈骗电子邮件而导致的安全事件。
他说:“因此,像“神枪手”黑客行动这样有针对性的社会工程攻击能够取得成功,不足为奇。有57%的人表示他们的网络钓鱼响应毫无效率,员工通常认为是网络钓鱼的问题。”
“然而,我们的模拟数据趋势表明,人们实际上可以成为这一关联中最强大的环节。训练有素的用户群会举报网络钓鱼和诈骗行为,这在几乎所有行业都是如此,并直接驳斥了许多企业广泛接受的假设。”
Mount说,公司无法对他们看不到的攻击进行防御,并补充称这与“神枪手”黑客行动尤为相关。
“在2017年6月,Cofense Intelligence发布了一项战略解析,内容涉及使用文件共享服务(如Dropbox)作为绕过外围控制的策略,这也是“神枪手”黑客行动所采用的策略。但是,通过调整策略来让用户识别和汇报这些类型的攻击,公司可以加强最后的防线并保护用户。”
原文作者:Warwick Ashford
