近日,据腾讯御见要挟情报中心监测发现,伊朗的APT组织——“人面马”(T-APT-05)再度活泼。该组织在2017年12月7日被FireEye披露后,在短短一个多月的工夫内延续发起5次攻击活动,次要攻击目的集中在中东地域的政府、 金融 、动力、电信等行业用户。
目前该攻击虽然尚未在国际地域发现,但异样不可抓紧警觉。腾讯电脑管家提示国际用户警觉来历不明的邮件,坚持腾讯电脑管家等平安软件开启装填,抵挡不法分子的攻击。
“人面马”组织(T-APT-05),又称APT34、Oilrig、Cobalt Gypsy,是一个来自于伊朗的APT组织。该组织武器库完全,根底设备资源丰厚,技术弱小,当今最新的破绽及其它最新的攻击技术都会被应用。本次攻击活动次要经过鱼叉钓鱼发起攻击,将木马病毒植入office文档、chm协助文档等钓饵文件,并经过订单信息等邮件内容和政治敏感内容诱导收件人翻开检查。攻击者窃取的用户信息,比方阅读器保管的账号密码、键盘和鼠标志录、摄像头拍照或录制视频、麦克风录制声响、零碎信息等敏感信息,窃取加密货币钱包中的密钥和vpn凭证等,令中招用户遭遇隐私泄露甚至是严重的财富损失。
经过剖析近期的几次攻击活动,腾讯御见要挟情报中心指出,该组织不止攻击武器库不断在不时地停止晋级,攻击手法也越来越拙劣,从最后容易检出的样本到开展到明天杀毒软件极难检测的脚本木马及jar版木马,甚至还包括chm文件藏毒、word藏毒、破绽应用、钓鱼攻击、dns tunneling技术等手腕,无所不必其极。即便被曝光后某些技术手腕生效,但是只需被攻击目的存在价值,攻击组织的举动就会继续。
(图:“人面马”某个钓饵文件的次要攻击流程)
腾讯电脑管平安专家、腾讯平安反病毒实验室担任人马劲松建议广阔用户,不要随便点击来历不明的文件,可经过腾讯电脑管家诈骗信息查询窗口和腾讯哈勃剖析零碎停止平安检测。此外,关于企业用户,可经过腾讯平安“御界防APT邮件网关”,处理歹意邮件的攻击要挟。