近日,據騰訊御見威脅情報中心監測發現,伊朗的APT組織——「人面馬」(T-APT-05)再度活躍。該組織在 2017 年 12 月 7 日被FireEye披露後,在短短一個多月的時間內連續發起 5 次攻擊活動,主要攻擊目標集中在中東地區的政府、金融、能源、電信等行業用戶。
目前該攻擊雖然尚未在國內地區發現,但同樣不可放鬆警惕。騰訊電腦管家提醒國內用戶警惕來歷不明的郵件,保持騰訊電腦管家等安全軟體開啟裝填,抵禦不法分子的攻擊。
「人面馬」組織(T-APT-05),又稱APT34、Oilrig、Cobalt Gypsy,是一個來自於伊朗的APT組織。該組織武器庫齊全,基礎設施資源豐富,技術強大,當今最新的漏洞及其它最新的攻擊技術都會被利用。本次攻擊活動主要通過魚叉釣魚發起攻擊,將木馬病毒植入office文檔、chm幫助文檔等誘餌文件,並通過訂單信息等郵件內容和政治敏感內容誘導收件人打開查看。攻擊者竊取的用戶信息,比如瀏覽器保存的帳號密碼、鍵盤和滑鼠記錄、攝像頭拍照或錄製視頻、麥克風錄製聲音、系統信息等敏感信息,竊取加密貨幣錢包中的密鑰和vpn憑證等,令中招用戶遭遇隱私洩露甚至是嚴重的財產損失。
通過分析近期的幾次攻擊活動,騰訊御見威脅情報中心指出,該組織不止攻擊武器庫一直在不斷地進行升級,攻擊手法也越來越高明,從最初容易檢出的樣本到發展到今天殺毒軟體極難檢測的腳本木馬及jar版木馬,甚至還包括chm文件藏毒、word藏毒、漏洞利用、釣魚攻擊、dns tunneling技術等手段,無所不用其極。即使被曝光後某些技術手段失效,但是只要被攻擊目標存在價值,攻擊組織的行動就會持續。
(圖:「人面馬」某個誘餌文件的主要攻擊流程)
騰訊電腦管安全專家、騰訊安全反病毒實驗室負責人馬勁松建議廣大用戶,不要輕易點擊來歷不明的文件,可通過騰訊電腦管家詐騙信息查詢窗口和騰訊哈勃分析系統進行安全檢測。此外,對於企業用戶,可通過騰訊安全「御界防APT郵件網關」,解決惡意郵件的攻擊威脅。