APT黑客組織又盯上數(shù)字貨幣 騰訊安全“御界”全面防御

數(shù)字貨幣正在全世界范圍持續(xù)火爆,除了資本的激烈角逐和普通玩家的關(guān)注,許多不法分子也趁機(jī)搶搭上數(shù)字貨幣“致富”的列車(chē),發(fā)起網(wǎng)絡(luò)攻擊活動(dòng),對(duì)相關(guān)機(jī)構(gòu)及用戶(hù)的信息財(cái)產(chǎn)安全造成極大威脅。

近日,騰訊御見(jiàn)威脅情報(bào)中心監(jiān)測(cè)到疑似朝鮮的黑客組織Lazarus再度活躍,利用最新Flash漏洞CVE-2018-4878頻繁發(fā)起攻擊,通過(guò)傳播暗藏FALLCHILL遠(yuǎn)程控制木馬的惡意doc文檔進(jìn)行魚(yú)叉攻擊,對(duì)象主要為國(guó)外數(shù)字貨幣交易所。

從Adobe漏洞致謝公告來(lái)看,CVE-2018-4878漏洞的野外攻擊樣本最早是由韓國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組(KR-CERT)發(fā)現(xiàn)。而KR-CERT也表示,來(lái)自朝鮮的黑客組織已經(jīng)成功利用這個(gè)0Day漏洞發(fā)起攻擊,與Lazarus主要攻擊目標(biāo)一致,進(jìn)一步驗(yàn)證了Lazarus組織就是本次攻擊活動(dòng)的發(fā)起者。

雖然該攻擊目前尚未在我國(guó)發(fā)現(xiàn),但國(guó)內(nèi)用戶(hù)仍不可放松警惕。騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室負(fù)責(zé)人、騰訊電腦管家安全專(zhuān)家馬勁松提醒政府、企業(yè)等用戶(hù),切勿隨意打開(kāi)來(lái)歷不明的郵件附件,同時(shí)建議安裝騰訊電腦管家等安全軟件,可有效抵御不法分子的攻擊。

隨著數(shù)字貨幣在投資市場(chǎng)上不斷受追捧,其蘊(yùn)藏的巨大利益也吸引了不法分子的注意。近年來(lái),不法黑客針對(duì)政府、機(jī)構(gòu)、企業(yè)的攻擊活動(dòng)愈發(fā)頻繁,其攻擊手段也日趨多樣化,影響范圍更為廣泛?!厄v訊安全2017年度互聯(lián)網(wǎng)安全報(bào)告》指出,2018年由數(shù)字加密貨幣而起的犯罪活動(dòng)或?qū)⒊尸F(xiàn)高發(fā)態(tài)勢(shì)。據(jù)國(guó)外安全公司的調(diào)查顯示,本次發(fā)起攻擊的Lazarus組織與2017年美國(guó)國(guó)防承包商、美國(guó)能源部門(mén)及英國(guó)、韓國(guó)等比特幣交易所被攻擊等事件有關(guān)。2017年席卷全球的“WannaCry”勒索病毒安全事件也被懷疑是該組織所為。

據(jù)了解,Lazarus(T-APT-15)組織是來(lái)自朝鮮的APT組織,該組織長(zhǎng)期對(duì)韓國(guó)、美國(guó)進(jìn)行滲透攻擊,此外還對(duì)全球的金融機(jī)構(gòu)進(jìn)行攻擊。盡管Lazarus組織的攻擊活動(dòng)不斷地被披露,但是該組織從未停止攻擊的腳步,同時(shí)還把攻擊目標(biāo)不斷擴(kuò)大,包括能源、軍事、政府等部門(mén)專(zhuān)項(xiàng)金融機(jī)構(gòu),尤其是數(shù)字貨幣交易所等,該組織堪稱(chēng)全球金融機(jī)構(gòu)的最大威脅。

Lazarus組織擅長(zhǎng)使用郵件釣魚(yú)進(jìn)行魚(yú)叉攻擊,同時(shí)武器庫(kù)強(qiáng)大,具有使用0day漏洞發(fā)起攻擊的能力。本次攻擊依然采用該組織最常用的魚(yú)叉攻擊,通過(guò)內(nèi)嵌惡意文檔對(duì)目標(biāo)進(jìn)行攻擊。不法分子十分狡猾,將郵件文檔偽裝成協(xié)議、最流行的加密貨幣交易所的安全分析、IT安全等熱點(diǎn)內(nèi)容,具有極強(qiáng)的迷惑性和誘惑性,以此吸引用戶(hù)下載運(yùn)行。

APT黑客組織又盯上數(shù)字貨幣 騰訊安全“御界”全面防御

(圖:誘餌文檔內(nèi)容)

騰訊安全反病毒實(shí)驗(yàn)室經(jīng)過(guò)分析溯源發(fā)現(xiàn),該惡意文檔卸載的載荷為FALLCHILL遠(yuǎn)程控制木馬最新變種。FALLCHILL木馬是朝鮮的黑客組織Lazarus開(kāi)發(fā)并使用的木馬,最早出現(xiàn)于2017年初。該木馬能夠?qū)崿F(xiàn)遠(yuǎn)程文件操作、遠(yuǎn)程進(jìn)程操作、遠(yuǎn)程信息獲取、自卸載等各種功能,用戶(hù)一旦中招,電腦重要信息將面臨極大威脅。

騰訊御界高級(jí)威脅檢測(cè)系統(tǒng)基于騰訊反病毒實(shí)驗(yàn)室的安全能力,依托騰訊在云和端的大數(shù)據(jù),形成了強(qiáng)大且獨(dú)特的威脅情報(bào)和惡意檢測(cè)模型,憑借基于行為的防護(hù)和智能模型兩大核心能力,能高效檢測(cè)未知威脅,并實(shí)時(shí)阻攔此類(lèi)釣魚(yú)郵件、惡意宏文檔、證書(shū)管理程序白利用等攻擊方式。此次騰訊御見(jiàn)威脅情報(bào)中心也是第一時(shí)間監(jiān)測(cè)到該攻擊活動(dòng),并展開(kāi)積極措施,以保護(hù)廣大用戶(hù)的信息數(shù)據(jù)不受侵犯。

APT黑客組織又盯上數(shù)字貨幣 騰訊安全“御界”全面防御

(圖:騰訊御界高級(jí)威脅檢測(cè)系統(tǒng))

針對(duì)類(lèi)似的惡意攻擊,馬勁松建議廣大用戶(hù),不要輕易點(diǎn)擊來(lái)歷不明的文件,可利用騰訊電腦管家詐騙信息查詢(xún)窗口和騰訊哈勃分析系統(tǒng)進(jìn)行安全檢測(cè)。同時(shí),企業(yè)用戶(hù)可通過(guò)騰訊安全“御界防APT郵件網(wǎng)關(guān)”,解決惡意郵件的攻擊威脅。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。

2018-03-09
APT黑客組織又盯上數(shù)字貨幣 騰訊安全“御界”全面防御
數(shù)字貨幣正在全世界范圍持續(xù)火爆,除了資本的激烈角逐和普通玩家的關(guān)注,許多不法分子也趁機(jī)搶搭上數(shù)字貨幣“致富”的列車(chē),發(fā)起網(wǎng)絡(luò)攻擊活動(dòng),對(duì)相關(guān)機(jī)構(gòu)及用戶(hù)的信息財(cái)產(chǎn)安全造成極大威脅。

長(zhǎng)按掃碼 閱讀全文