瑞星卡卡安全论坛
首页
»
企业产品讨论区
»
瑞星ESM防病毒终端安全防护系统
»
瑞星捕获黑客组织Lazarus针对军工行业最新攻击行动
麦青儿 - 2022-4-27 17:45:00
近日,瑞星威胁情报中心捕获到一起专门针对军工领域从业人员发起的APT攻击事件,通过分析发现此次事件的主谋为Lazarus组织,该组织通过伪造国际知名军工企业洛克希德·马丁公司的招聘文件为诱饵,诱骗军工领域相关人员点击并执行带有恶意程序的文件,从而达到窃取机密信息、远程控制的目的。
图:攻击流程
据悉,Lazarus组织是一个自2007年就开始对目标进行网络攻击的威胁组织,该组织又被称为APT-C-26、T-APT-15等,是现今最活跃的威胁组织之一。该组织疑似来自朝鲜,具有国家背景。其除了擅长信息盗取、间谍活动外,还会蓄意破坏用户主机,以牟取经济利益,攻击的国家包括中国、德国、澳大利亚和日本等,涉及的领域有航空航天、政府、医疗、金融和媒体等。
瑞星安全专家介绍,在此次攻击事件中,Lazarus组织通过伪造的国际知名军工企业洛克希德·马丁公司的高级职务招聘文件作为诱饵,向军工领域从业人员投放名为“LMCO_Senior Systems Engineer_BR09.doc ”的文档,以此诱骗目标用户点击查看。而该文档内容则显示为乱码,其目的就是为了诱导用户点击“启用内容”,一旦用户点击启动了这个宏代码,后台就会释放并执行内嵌于文档中的恶意程序,开启攻击行为。由于该文档极具诱惑性和隐蔽性,因此普通用户难以防范,极易受骗。
图:诱饵文档
麦青儿 - 2022-4-27 17:45:00
瑞星安全专家表示,此次攻击事件中的恶意样本为远程控制类病毒,具有收集本地敏感信息、连接远程服务器、上传信息并接受命令等基本功能,同时与远程服务器的双向通信数据都经过编码处理,因此可以有效的逃避以检测特征码为主要防御手段的流量监控,其隐蔽性极高。而此次攻击目标特别针对军工领域从业人员,因此该类用户应格外警惕,加强防范,避免攻击。目前,瑞星ESM防病毒终端安全防护系统可拦截并查杀此次攻击携带的相关病毒,广大用户可安装使用,规避相应风险。
图:瑞星ESM防病毒终端安全防护系统查杀相关病毒
瑞星公司表示,由于APT攻击有着针对性强、组织严密、持续时间长、高隐蔽性和间接攻击的显著特征,且针对的目标都是具有重大信息资产,如国家军事、情报、战略部门和影响国计民生的行业如金融、能源等,因此国内相关政府机构和企业单位务必要引起重视,加强防范,做到以下几点:
1. 不打开可疑文件。
不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。
2. 部署网络安全态势感知、预警系统等网关安全产品。
网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。
3. 安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。
杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。
4. 及时修补系统补丁和重要软件的补丁。
天月来了 - 2022-4-30 8:39:00
该文档内容则显示为乱码,诱导用户点击“启用内容”,一旦用户点击启动了这个宏代码,后台就会释放并执行内嵌于文档中的恶意程序
这个方式就确实比较难了,毕竟大量办公人员,你还真无法阻止他们不去打开文档,打开文档后不去点那个启用内容:kaka6:
但是它最基本的还是要执行一个exe程序,所以重要电脑阻止任何不明exe程序的运行是太重要了:kaka12:
1
查看完整版本:
瑞星捕获黑客组织Lazarus针对军工行业最新攻击行动
© 2000 - 2024 Rising Corp. Ltd.