火眼怀疑中国黑客用Word漏洞+WMI攻击印度
作者: 日期:2015年08月24日 阅:2,068

火眼公司周六表示,一组疑似来自中国的黑客一直针对印度有关边界争端和贸易事物的目标盗取信息,此黑客组织寻求的是地缘政治信息。

640.webp (113)

该安全公司亚太区首席技术官布莱斯·博兰称:此黑客团伙专精于向受害者发送针对性钓鱼电子邮件以期获取目标网络更大范围的访问权,也就是所谓的鱼叉式网络钓鱼。

火眼公司尚未为此黑客团伙命名,但自2011年起便一直观察此组织。

博兰称:基于该组织针对公司客户的攻击尝试,公司收集了该黑客组织的大量数据。通过分析该组织使用的互联网基础设施,包括命令和控制服务器,公司洞察了该黑客组织的业务范围。

他说:“有时候,我们发现,不仅仅是我们的客户遭受攻击,还有很多其他组织也是他们的目标,并且一直承受着他们频繁的信息窃取。”

最近的一些鱼叉式钓鱼邮件中会带有微软Word文档附件,附件中包含一个目前已经打了补丁的2012年的Word漏洞利用。

该漏洞“相当古老”,但只要目标公司尚未打上补丁,依然十分有效。

博兰说:“大多数情况下,亚洲多数政府在网络安全防御能力上都相对不成熟。他们目前在补丁管理上还十分落后低效。”

只要一个用户被攻破,该黑客团伙的攻击者们就会用一个名为WATERMAIN的脚本文件利用Windows管理规范(WMI)探测主机和网络。

WMI是管理员使用的一个强力工具,可以用于在网络中进行跨计算机搜索,分发软件和执行命令。

博兰称:公司内部通常不会对WMI活动进行太多监视和日志记录,也就给攻击者利用它提供了极大便利。

该黑客组织的100多个目标实体中有70个左右都在印度,但也有在巴基斯坦、尼泊尔和孟加拉国的目标。

博兰称火眼公司决定公布这一消息是为了表明亚洲的组织也是此类针对性攻击的目标。

通常,一旦火眼公布了消息,网络攻击者们就会改变他们的攻击策略以便更加低调。博兰预测此黑客组织会认出消息中说的就是自己,因为没多少人会用WMI作为他们攻击活动的一部分。

“我想他们会知道自己已经被逮住了。”他说。

然而,被迫改变策略通常代价昂贵,增加了攻击者的运作成本,这是件好事。

我们就是要迫使他们增加投入。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章