火眼公司周六表示,一組疑似來自中國的黑客一直針對印度有關邊界爭端和貿易事物的目標盜取信息,此黑客組織尋求的是地緣政治信息。
該安全公司亞太區首席技術官布萊斯·博蘭稱:此黑客團伙專精于向受害者發送針對性釣魚電子郵件以期獲取目標網絡更大范圍的訪問權,也就是所謂的魚叉式網絡釣魚。
火眼公司尚未為此黑客團伙命名,但自2011年起便一直觀察此組織。
博蘭稱:基于該組織針對公司客戶的攻擊嘗試,公司收集了該黑客組織的大量數據。通過分析該組織使用的互聯網基礎設施,包括命令和控制服務器,公司洞察了該黑客組織的業務范圍。
他說:“有時候,我們發現,不僅僅是我們的客戶遭受攻擊,還有很多其他組織也是他們的目標,并且一直承受著他們頻繁的信息竊取。”
最近的一些魚叉式釣魚郵件中會帶有微軟Word文檔附件,附件中包含一個目前已經打了補丁的2012年的Word漏洞利用。
該漏洞“相當古老”,但只要目標公司尚未打上補丁,依然十分有效。
博蘭說:“大多數情況下,亞洲多數政府在網絡安全防御能力上都相對不成熟。他們目前在補丁管理上還十分落后低效。”
只要一個用戶被攻破,該黑客團伙的攻擊者們就會用一個名為WATERMAIN的腳本文件利用Windows管理規范(WMI)探測主機和網絡。
WMI是管理員使用的一個強力工具,可以用于在網絡中進行跨計算機搜索,分發軟件和執行命令。
博蘭稱:公司內部通常不會對WMI活動進行太多監視和日志記錄,也就給攻擊者利用它提供了極大便利。
該黑客組織的100多個目標實體中有70個左右都在印度,但也有在巴基斯坦、尼泊爾和孟加拉國的目標。
博蘭稱火眼公司決定公布這一消息是為了表明亞洲的組織也是此類針對性攻擊的目標。
通常,一旦火眼公布了消息,網絡攻擊者們就會改變他們的攻擊策略以便更加低調。博蘭預測此黑客組織會認出消息中說的就是自己,因為沒多少人會用WMI作為他們攻擊活動的一部分。
“我想他們會知道自己已經被逮住了。”他說。
然而,被迫改變策略通常代價昂貴,增加了攻擊者的運作成本,這是件好事。
我們就是要迫使他們增加投入。
京公網安備 11010502049343號