近日,瑞星威脅情報平臺捕獲到一起針對尼泊爾政府的攻擊事件,通過對比分析發(fā)現(xiàn),此次事件的攻擊者為SideWinder組織。該組織將仿造的總理行程釣魚郵件發(fā)送給尼泊爾政府機構(gòu),以此誘導(dǎo)目標點擊,從而激活遠控后門,達到盜取政府機密信息的目的。
目前,瑞星終端威脅檢測與響應(yīng)系統(tǒng)(EDR)能夠可視化地還原此次攻擊事件,通過威脅調(diào)查功能,讓用戶從任意節(jié)點和關(guān)鍵元素對整個攻擊進行追溯和梳理,全方位了解每一步進程,以此來提升防范網(wǎng)絡(luò)攻擊的能力。
圖:瑞星EDR還原尼泊爾政府被攻擊事件的整個流程
APT組織介紹
瑞星安全專家介紹,SideWinder是一個至少從2012年就開始進行網(wǎng)絡(luò)攻擊的威脅組織,又被稱為響尾蛇、T-APT-04、Rattlesnake和APT-C-17,是現(xiàn)今最活躍的組織之一。該組織主要從事信息竊取和間諜活動,攻擊目標集中在中國、巴基斯坦、阿富汗、錫蘭、緬甸等國家,涉及行業(yè)多為政府部門、國防、醫(yī)療和科技公司等。據(jù)瑞星監(jiān)測發(fā)現(xiàn),SideWinder組織就曾仿冒外交部和商務(wù)部對國內(nèi)政府機關(guān)發(fā)起釣魚攻擊,但并未成功。
圖:瑞星監(jiān)測到SideWinder組織曾對中國發(fā)起過APT攻擊
攻擊方式
在此次事件中,攻擊者將仿造的“尼泊爾總理普什帕·卡邁勒·達哈爾行程信息”通過郵件發(fā)送給尼泊爾政府機構(gòu),以騙取相關(guān)人員的信任。一旦點擊郵件附件,就會啟動其中的惡意宏代碼,而后釋放出后門病毒和腳本文件。當(dāng)后門病毒被腳本啟動后,就會通過HTTP協(xié)議與服務(wù)器進行通信,接收由攻擊者發(fā)來的指令,對受害者電腦進行遠程控制,盜取所有的機密信息與數(shù)據(jù)。
圖:仿造成尼泊爾總理行程信息的誘餌文檔
后門病毒的特點
此次攻擊者所使用的后門病毒是由Nim語言編寫,其優(yōu)勢是增加了安全人員的分析難度,降低了安全軟件的檢測率,是目前很多攻擊組織喜歡的新型開發(fā)語言。
防范建議:
瑞星安全專家表示,由于SideWinder組織的主要攻擊目標包括我國,因此政府部門和國家重點行業(yè)都應(yīng)提高警惕,謹防釣魚郵件和遠控后門導(dǎo)致的機密信息及數(shù)據(jù)被盜風(fēng)險。
1. 不打開可疑文件。
不打開未知來源的可疑的文件和郵件,防止社會工程學(xué)和釣魚攻擊。
2. 部署EDR、NDR產(chǎn)品。
利用威脅情報追溯威脅行為軌跡,進行威脅行為分析,定位威脅源和目的,追溯攻擊的手段和路徑,從源頭解決網(wǎng)絡(luò)威脅,最大范圍內(nèi)發(fā)現(xiàn)被攻擊的節(jié)點,以便更快響應(yīng)和處理。
3. 安裝有效的殺毒軟件,攔截查殺惡意文檔和惡意程序。
殺毒軟件可攔截惡意文檔和惡意程序,如果用戶不小心下載了惡意文件,殺毒軟件可攔截查殺,阻止病毒運行,保護用戶的終端安全。
圖:瑞星ESM防病毒終端安全防護系統(tǒng)查殺相關(guān)病毒
4. 及時修補系統(tǒng)補丁和重要軟件的補丁。
許多惡意軟件經(jīng)常使用已知的系統(tǒng)漏洞、軟件漏洞來進行傳播,及時安裝補丁將有效減少漏洞攻擊帶來的影響。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )