APT黑客組織又盯上數(shù)字貨幣 騰訊安全“御界”全面防御

數(shù)字貨幣正在全世界范圍持續(xù)火爆，除了資本的激烈角逐和普通玩家的關注，許多不法分子也趁機搶搭上數(shù)字貨幣“致富”的列車，發(fā)起網絡攻擊活動，對相關機構及用戶的信息財產安全造成極大威脅。

近日，騰訊御見威脅情報中心監(jiān)測到疑似朝鮮的黑客組織Lazarus再度活躍，利用最新Flash漏洞CVE-2018-4878頻繁發(fā)起攻擊，通過傳播暗藏FALLCHILL遠程控制木馬的惡意doc文檔進行魚叉攻擊，對象主要為國外數(shù)字貨幣交易所。

從Adobe漏洞致謝公告來看，CVE-2018-4878漏洞的野外攻擊樣本最早是由韓國計算機應急響應小組(KR-CERT)發(fā)現(xiàn)。而KR-CERT也表示，來自朝鮮的黑客組織已經成功利用這個0Day漏洞發(fā)起攻擊，與Lazarus主要攻擊目標一致，進一步驗證了Lazarus組織就是本次攻擊活動的發(fā)起者。

雖然該攻擊目前尚未在我國發(fā)現(xiàn)，但國內用戶仍不可放松警惕。騰訊安全聯(lián)合實驗室反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松提醒政府、企業(yè)等用戶，切勿隨意打開來歷不明的郵件附件，同時建議安裝騰訊電腦管家等安全軟件，可有效抵御不法分子的攻擊。

隨著數(shù)字貨幣在投資市場上不斷受追捧，其蘊藏的巨大利益也吸引了不法分子的注意。近年來，不法黑客針對政府、機構、企業(yè)的攻擊活動愈發(fā)頻繁，其攻擊手段也日趨多樣化，影響范圍更為廣泛?！厄v訊安全2017年度互聯(lián)網安全報告》指出，2018年由數(shù)字加密貨幣而起的犯罪活動或將呈現(xiàn)高發(fā)態(tài)勢。據國外安全公司的調查顯示，本次發(fā)起攻擊的Lazarus組織與2017年美國國防承包商、美國能源部門及英國、韓國等比特幣交易所被攻擊等事件有關。2017年席卷全球的“WannaCry”勒索病毒安全事件也被懷疑是該組織所為。

據了解，Lazarus(T-APT-15)組織是來自朝鮮的APT組織，該組織長期對韓國、美國進行滲透攻擊，此外還對全球的金融機構進行攻擊。盡管Lazarus組織的攻擊活動不斷地被披露，但是該組織從未停止攻擊的腳步，同時還把攻擊目標不斷擴大，包括能源、軍事、政府等部門專項金融機構，尤其是數(shù)字貨幣交易所等，該組織堪稱全球金融機構的最大威脅。

Lazarus組織擅長使用郵件釣魚進行魚叉攻擊，同時武器庫強大，具有使用0day漏洞發(fā)起攻擊的能力。本次攻擊依然采用該組織最常用的魚叉攻擊，通過內嵌惡意文檔對目標進行攻擊。不法分子十分狡猾，將郵件文檔偽裝成協(xié)議、最流行的加密貨幣交易所的安全分析、IT安全等熱點內容，具有極強的迷惑性和誘惑性，以此吸引用戶下載運行。

(圖：誘餌文檔內容)

騰訊安全反病毒實驗室經過分析溯源發(fā)現(xiàn)，該惡意文檔卸載的載荷為FALLCHILL遠程控制木馬最新變種。FALLCHILL木馬是朝鮮的黑客組織Lazarus開發(fā)并使用的木馬，最早出現(xiàn)于2017年初。該木馬能夠實現(xiàn)遠程文件操作、遠程進程操作、遠程信息獲取、自卸載等各種功能，用戶一旦中招，電腦重要信息將面臨極大威脅。

騰訊御界高級威脅檢測系統(tǒng)基于騰訊反病毒實驗室的安全能力，依托騰訊在云和端的大數(shù)據，形成了強大且獨特的威脅情報和惡意檢測模型，憑借基于行為的防護和智能模型兩大核心能力，能高效檢測未知威脅，并實時阻攔此類釣魚郵件、惡意宏文檔、證書管理程序白利用等攻擊方式。此次騰訊御見威脅情報中心也是第一時間監(jiān)測到該攻擊活動，并展開積極措施，以保護廣大用戶的信息數(shù)據不受侵犯。

(圖：騰訊御界高級威脅檢測系統(tǒng))

針對類似的惡意攻擊，馬勁松建議廣大用戶，不要輕易點擊來歷不明的文件，可利用騰訊電腦管家詐騙信息查詢窗口和騰訊哈勃分析系統(tǒng)進行安全檢測。同時，企業(yè)用戶可通過騰訊安全“御界防APT郵件網關”，解決惡意郵件的攻擊威脅。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。