瑞星卡卡安全论坛企业产品讨论区瑞星ESM防病毒终端安全防护系统 瑞星捕获黑客组织Lazarus针对军工行业最新攻击行动

1   1  /  1  页   跳转

[产品资讯] 瑞星捕获黑客组织Lazarus针对军工行业最新攻击行动

瑞星捕获黑客组织Lazarus针对军工行业最新攻击行动

近日,瑞星威胁情报中心捕获到一起专门针对军工领域从业人员发起的APT攻击事件,通过分析发现此次事件的主谋为Lazarus组织,该组织通过伪造国际知名军工企业洛克希德·马丁公司的招聘文件为诱饵,诱骗军工领域相关人员点击并执行带有恶意程序的文件,从而达到窃取机密信息、远程控制的目的。


图:攻击流程


据悉,Lazarus组织是一个自2007年就开始对目标进行网络攻击的威胁组织,该组织又被称为APT-C-26、T-APT-15等,是现今最活跃的威胁组织之一。该组织疑似来自朝鲜,具有国家背景。其除了擅长信息盗取、间谍活动外,还会蓄意破坏用户主机,以牟取经济利益,攻击的国家包括中国、德国、澳大利亚和日本等,涉及的领域有航空航天、政府、医疗、金融和媒体等。

瑞星安全专家介绍,在此次攻击事件中,Lazarus组织通过伪造的国际知名军工企业洛克希德·马丁公司的高级职务招聘文件作为诱饵,向军工领域从业人员投放名为“LMCO_Senior Systems Engineer_BR09.doc ”的文档,以此诱骗目标用户点击查看。而该文档内容则显示为乱码,其目的就是为了诱导用户点击“启用内容”,一旦用户点击启动了这个宏代码,后台就会释放并执行内嵌于文档中的恶意程序,开启攻击行为。由于该文档极具诱惑性和隐蔽性,因此普通用户难以防范,极易受骗。

图:诱饵文档

最后编辑麦青儿 最后编辑于 2022-04-27 17:46:32
分享到:
gototop
 

回复: 瑞星捕获黑客组织Lazarus针对军工行业最新攻击行动

瑞星安全专家表示,此次攻击事件中的恶意样本为远程控制类病毒,具有收集本地敏感信息、连接远程服务器、上传信息并接受命令等基本功能,同时与远程服务器的双向通信数据都经过编码处理,因此可以有效的逃避以检测特征码为主要防御手段的流量监控,其隐蔽性极高。而此次攻击目标特别针对军工领域从业人员,因此该类用户应格外警惕,加强防范,避免攻击。目前,瑞星ESM防病毒终端安全防护系统可拦截并查杀此次攻击携带的相关病毒,广大用户可安装使用,规避相应风险。


图:瑞星ESM防病毒终端安全防护系统查杀相关病毒


瑞星公司表示,由于APT攻击有着针对性强、组织严密、持续时间长、高隐蔽性和间接攻击的显著特征,且针对的目标都是具有重大信息资产,如国家军事、情报、战略部门和影响国计民生的行业如金融、能源等,因此国内相关政府机构和企业单位务必要引起重视,加强防范,做到以下几点:

1. 不打开可疑文件。

不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。

2. 部署网络安全态势感知、预警系统等网关安全产品。


网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。

3. 安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。


杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。

4. 及时修补系统补丁和重要软件的补丁。
最后编辑麦青儿 最后编辑于 2022-04-27 17:49:32
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT