近日,据腾讯御见威胁情报中心监测发现,伊朗的APT组织——“人面马”(T-APT-05)再度活跃。该组织在2017年12月7日被FireEye披露后,在短短一个多月的时间内连续发起5次攻击活动,主要攻击目标集中在中东地区的政府、金融、能源、电信等行业用户。
目前该攻击虽然尚未在国内地区发现,但同样不可放松警惕。腾讯电脑管家提醒国内用户警惕来历不明的邮件,保持腾讯电脑管家等安全软件开启装填,抵御不法分子的攻击。
“人面马”组织(T-APT-05),又称APT34、Oilrig、Cobalt Gypsy,是一个来自于伊朗的APT组织。该组织武器库齐全,基础设施资源丰富,技术强大,当今最新的漏洞及其它最新的攻击技术都会被利用。本次攻击活动主要通过鱼叉钓鱼发起攻击,将木马病毒植入office文档、chm帮助文档等诱饵文件,并通过订单信息等邮件内容和政治敏感内容诱导收件人打开查看。攻击者窃取的用户信息,比如浏览器保存的账号密码、键盘和鼠标记录、摄像头拍照或录制视频、麦克风录制声音、系统信息等敏感信息,窃取加密货币钱包中的密钥和vpn凭证等,令中招用户遭遇隐私泄露甚至是严重的财产损失。
通过分析近期的几次攻击活动,腾讯御见威胁情报中心指出,该组织不止攻击武器库一直在不断地进行升级,攻击手法也越来越高明,从最初容易检出的样本到发展到今天杀毒软件极难检测的脚本木马及jar版木马,甚至还包括chm文件藏毒、word藏毒、漏洞利用、钓鱼攻击、dns tunneling技术等手段,无所不用其极。即使被曝光后某些技术手段失效,但是只要被攻击目标存在价值,攻击组织的行动就会持续。
(图:“人面马”某个诱饵文件的主要攻击流程)
腾讯电脑管安全专家、腾讯安全反病毒实验室负责人马劲松建议广大用户,不要轻易点击来历不明的文件,可通过腾讯电脑管家诈骗信息查询窗口和腾讯哈勃分析系统进行安全检测。此外,对于企业用户,可通过腾讯安全“御界防APT邮件网关”,解决恶意邮件的攻击威胁。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。