卡巴斯基实验室最近发现一种最新的被称为Grabit的针对企业的网络间谍攻击行动
卡巴斯基实验室最近发现一种最新的被称为Grabit的针对企业的网络间谍攻击行动。攻击造成大量中小型企业约10,000份文件被盗,这些企业主要位于泰国、印度和美国。受攻击的行业包括化工行业、纳米技术行业、教育业、农业、媒体以及建筑业等。
其他受影响的国家还包括阿拉伯联合酋长国、德国、以色列、加拿大、法国、奥地利、斯里兰卡、智利和比利时。
“我们发现过很多针对大型企业、政府机构和其他重要机构的间谍攻击,但是针对中小型企业的攻击却很少见。但是,Grabit的发现表明并不是只有“大鱼”才会成为攻击目标,在网络世界中,每个组织,不管其是拥有资金、信息或是政治影响,都可能成为恶意攻击者的潜在攻击目标。目前Grabit攻击仍在继续,所以请检查你所在组织的网络,确保自身安全。5月15日,我们发现了一款简单的Grabit键盘记录器,用于维护从数千台受感染系统上窃取到的数千个被盗账户登录信息。这一威胁不可低估,”全球研究和分析团队资深安全研究员Ido Noar说。
感染是通过电子邮件附件进行的。通常,企业或组织中的员工会收到一封包含附件的邮件,附件看上去似乎是Office Word(.doc)文档。用户点击下载附件后,间谍程序会从远程服务器下载到用户计算机。而远程服务器则是被攻击组织所攻破,并用于充当恶意软件节点。攻击者使用HawkeyeProducts公司出品的一款商业间谍工具――HawkEye键盘记录器和一个包含大量远程管理工具(RAT)的配置模块控制受害者。
为说明这次攻击的规模,卡巴斯基实验室表示,仅需一个在命令和控制服务器中的键盘记录器,就可以从4928台不同的内部和外部主机中窃取2887个密码、1053封电子邮件和3023个用户名信息,包括Outlook、Facebook、Skype、Google mail、Pinterest、Yahoo、LinkedIn和Twitter等服务以及银行账户和其他账号。
一个不固定的网络犯罪组织
一方面,Grabit幕后的攻击者没有专门隐藏自己的行为。有些恶意样本使用了同样的主机服务器,甚至同样的登陆凭证,造成自身安全隐患。另一方面,攻击者还使用了缓解方法,确保其代码不被分析专家发现。根据这些迹象,卡巴斯基实验室认为这一间谍攻击行动幕后的攻击者是一个不固定的攻击组织。其中一些成员技术更为精湛,并且会注意保护自身不被其他人追踪。安全专家分析认为,这些恶意软件的编写者应该不是自己从头编写的。
要抵御Grabit威胁,卡巴斯基实验室建议用户采取以下措施:
- 请检查计算机上以下位置 C:\Users\<计算机名称>\AppData\Roaming\Microsoft,如果其中包含可执行文件,那该计算机可能已经被恶意软件感染。请不要忽视这一警告。
- Windows系统配置中的启动列表中不应当包含grabit1.exe。请运行“msconfig ”,确保启动项中不包含grabit1.exe记录。
- 不要打开来自不认识的人发送的邮件附件或链接。如果你不能打开附件,不要将其转发给他人,而是要寻求IT管理员的帮助。
- 使用高级以及最新的反恶意软件解决方案,遇到可疑进程,一定要按照反病毒解决方案的建议进行操作。
卡巴斯基实验室产品已经能够检测所有已知的Grabit样本,帮助用于抵御这一威胁。
要了解更多关于“Grabit ”攻击行动详情,请浏览Securelist.com.
