卡巴斯基实验室研究人员发现一波针对中亚外交机构和组织的针对性网络间谍攻击行动。攻击使用的木马被称为“Octopus”,会伪装成某个版本的流行的合法在线聊天工具,在该地区利用可能会禁用Telegram聊天工具的消息吸引用户。一旦安装,Octopus会为攻击者提供对受害者计算机的远程访问。
威胁组织正在不断寻找可以利用的现代趋势,并且调整其攻击手段来危害用户的隐私安全以及全球的敏感信息安全。在这起案例中,广泛被使用的Telegram聊天工具可能被禁用这一事实使得威胁攻击者可以利用Octopus木马实施攻击,随后为黑客提供对受害者计算机的远程访问。
威胁攻击者使用一个伪装成供哈萨克斯坦反对党使用的替代版本的Telegram的安装包来传播Octopus木马。这个安装包使用了一个很容易识别的该地区的反对党标志,木马就隐藏在其中。一旦激活,木马就会让恶意软件幕后的攻击者对受感染计算机上的数据执行各种操作,包括但不限于删除、阻止、修改、复制和下载。这样,攻击者就可以监视受害者,窃取敏感数据,并获得系统的后门访问权限。这种攻击手段与之前臭名昭彰的Zoo Park网络间谍攻击有一些相似之处。因为之前的这起攻击中使用的APT恶意软件也是伪装成Telegram软件来监控受害者。
使用可以识别软件代码相似之处的卡巴斯基算法,安全研究人员发现Octopus可能与DustSquad存在关联。DustSquad是一个说俄语的网络间谍攻击组织,自2014年以来在中亚前苏联国家以及阿富汗被发现。两年来,研究人员已经检测到该威胁组织使用定制的安卓和Windows恶意软件对个人用户和外交机构发动的四次攻击行动
2018年,我们发现有很多威胁组织对中亚的外交机构和组织发动攻击。DustSquad在该地区已经活动多年,可能是最新威胁的幕后组织者。很显然,对这一地区的网络事务的兴趣也在稳步增长。我们强烈建议该地区的用户和组织密切关注自己的系统,并且指导员工也加强警惕,“卡巴斯基实验室安全研究员Denis Legezo说。
为了降低遭受复杂网络攻击的风险,卡巴斯基实验室建议采取以下措施:
- 对员工进行数字卫生培训,向他们揭示如何识别和避免潜在恶意的应用程序或文件。例如,员工不应当从不受信任或未知来源下载和打开任何应用或程序。
- 使用具有应用程序控制功能的强大端点安全解决方案,这些功能可以限制应用程序启动或访问关键系统资源的能力。
- 部署能够拦截针对性攻击的解决方案和技术,例如卡巴斯反针对性攻击平台和卡巴斯基EDR。这些技术可以帮助检测整个网络中的恶意活动,通过拦截它们的进程来有效调查和应对攻击。
- 确保您的安全团队可以访问专业的威胁情报信息
要阅读报告全文,请访问 Securelist.com
