恶意软件活动“ Operation Sharpshooter”针对英国金融科技
来源: 2022-02-07 08:00:19
如果总体生活还不够糟糕,就会发现针对核能,国防,能源和金融公司的新的全球恶意软件运动。
感谢McAfee Advanced Threat Research团队和McAfee Labs恶意软件运营小组的英勇奉献,我们现在知道了即将发生的事情。
“尽管复杂,但这项运动取决于一定程度的社会工程学”
迈克菲表示,这项名为“ Operation Sharpshooter”的活动使用内存中的植入物来下载和检索第二阶段的植入物,该植入物被称为“旭日”,以进行进一步开发。
McAfee首席科学家兼研究员Raj Samani评论:“尽管它非常复杂,但这项运动取决于一定程度的社会工程学,通过企业的警惕和沟通,可以轻松地缓解这一运动。企业必须找到人员,流程和技术的正确组合,以有效地保护自己免受原始攻击,检测到威胁的出现以及有针对性的快速纠正系统。”
根据其分析,旭日植入物在新框架中使用了拉撒路集团(Lazarus Group)2015年后门特洛伊木马(Trojan Duuzer)的源代码来渗透这些关键行业。
Sharpshooter行动与Lazarus Group的众多技术联系似乎“太明显了,无法立即得出结论,认为他们对袭击负责,而表明存在错误标志的可能性”。
McAfee的研究重点在于该参与者的运作方式,全球影响力以及如何检测攻击。它冷静地说:“我们将归属于更广泛的安全界。”
该活动伪装成合法的行业工作招聘活动,同时收集信息以监控潜在的剥削。其分析还表明与其他招聘活动相关的类似技术。
根据McAfee遥测技术及其分析,Rising Sun植入物于2018年10月和11月在全球87个组织(主要在美国)出现。
根据其他具有类似行为的运动,大多数目标组织是说英语的或拥有说英语的地区办事处。
尽管金融科技处于危险之中,没有人应该放松,但迈克菲观察到,大多数目标都是国防和政府相关组织。
恶意软件会分几个步骤移动。最初的攻击媒介是一个文档,其中包含一个带武器的宏,该宏可以下载下一个阶段,该宏在内存中运行并收集情报。受害者的数据被发送到控制服务器,以供演员进行监视,然后由演员确定下一步。
McAfee以前没有观察到这种植入物。它将继续监视此活动,并在安全行业或其他人员收到更多信息时进一步报告。
顺便说一句,这个故事中的两个链接是安全的。他们转到此站点上的相关报告。
猜你喜欢
今日头条
图文推荐
精彩文章
随机推荐