更新时间:2020-08-23 17:21:40
网络安全研究人员警告不要针对军事和金融组织的新的针对性网络攻击活动。
网络安全公司卡巴斯基的研究人员能够将一个称为“ Bisonal”的后门程序的300多个样本与一个名为CactusPete的高级持续威胁参与者(APT)小组进行的有针对性的攻击活动联系起来。卡巴斯基说,这个威胁行动者是一个网络间谍组织,也被称为Karma Panda或TontoTeaь,至少自2012年以来一直活跃。
支持优质新闻
它说:“最近的竞选集中在东欧的军事和金融目标,并突出了该集团的快速发展。”
“这次,他们将后门升级为针对东欧军事和金融部门的代表-最有可能获得机密信息。此外,新恶意软件样本的创建速度表明该组织正在迅速发展。”
卡巴斯基的研究人员在今年2月发现了该组织的最新活动,当时他们发现了该组织的Bisonal后门程序的更新版本。
后门是计算机系统中的漏洞或故障,可以允许未经授权的数据访问。
“恶意有效负载的功能表明,该小组正在关注高度敏感的信息。将Bisonal后门安装到受害者的设备上后,便可以使该小组静默启动各种程序,终止任何进程,上载/下载/删除文件以及检索可用驱动器列表。此外,随着操作员更深入地进入受感染的系统,他们部署了键盘记录器来收集凭据并下载特权升级恶意软件,从而逐渐获得对系统的越来越多的控制权。” Kaspersky解释说。
研究人员将这些攻击与CactusPete相关联,并使用其卡巴斯基威胁归因引擎发现了300个类似的Bisonal后门样本。该工具会分析恶意代码是否与已知威胁参与者部署的相似性,以确定攻击背后的人群。
所有300个样本出现在2019年3月至2020年4月之间。
他们尚未发现在此最新活动中最初如何将后门准确地下载到系统中。
“过去,CactusPete主要依靠带有包含恶意附件的电子邮件进行鱼叉式网络钓鱼。如果附件打开,则设备将被感染。”报告说。
卡巴斯基(Kaspersky)高级安全研究员Konstantin Zykov说:“ CactusPete是一个相当有趣的APT组织,因为它实际上并不先进-包括Bisonal后门。”
他们的成功并非来自复杂的技术或复杂的分配与混淆策略,而是来自社会工程策略的成功应用。他们能够成功感染高级目标,因为其受害者单击了网络钓鱼电子邮件并打开了恶意附件。这是一个很好的例子,说明了为什么网络钓鱼仍然是发动网络攻击的有效方法,以及为什么公司向员工提供如何发现此类电子邮件并及时了解最新威胁的培训如此重要情报,以便他们可以发现高级演员。”他补充道。