迈克菲近日发现新一轮针对美国或英语国家的企业和机构的黑客攻击,重点目标是核能、国防机构、能源及金融企业在内的关键基础设施,背后黑手可能是朝鲜。
这波自11月起开始活跃的攻击行动被迈克菲命名为“神枪手(Sharpshooter)”,目前看来主要是进行侦察和从被感染主机上获取敏感信息。迈克菲并未提及与基础设施破坏相关的行为。
与大多数组织良好的网络袭击类似,“神枪手”行动也是向目标公司关键人物发送针对性网络钓鱼邮件。本案例中,攻击者伪装成招聘机构向目标人物发送寻求英语应聘者的电子邮件。
钓鱼邮件里包含有带毒Word文档(研究人员指出用于编制这些文档的Word软件是韩语版的),被打开后会在目标系统上安装第一个恶意软件:会回连控制服务器的内存模块。
一旦连上控制服务器,被感染主机就会下载并执行第二阶段的恶意软件载荷—— Rising Sun。该恶意软件是攻击行动的主力工具,负责监视网络行为并收集被感染主机上的信息,然后加密发送回控制服务器。
迈克菲指出,该攻击所用恶意软件载荷大量借用了朝鲜黑客组织Lazarus的源代码。而Lazarus向来以攻击基础设施和金融机构而闻名。
然而,这并不意味着背后黑手就是Lazarus。事实上,迈克菲认为,这种代码上的联系极有可能是故布疑阵。
迈克菲解释道:
‘神枪手’行动与Lazarus组织的大量技术联系看起来太过明显了,仓促下结论称就是Lazarus干的显然不合适,这种联系反而说明了误报的可能性。
其他团体或政府借鉴Lazarus源代码的情况不是没有。今年早些时候,研究人员就揭示了美国政府自己的攻击工具是怎么被拆解再重新打包用于对付新目标的。
因此,迈克菲称,截至目前尚无法做出有关这波攻击幕后黑手的任何猜测。
迈克菲实验室的报告:
‘Operation Sharpshooter’ Targets Global Defense, Critical Infrastructure
相关阅读
FBI:索尼事件、WannaCry和8100万银行劫案都是朝鲜干的
