首个已知的针对使用巴西葡萄牙语的用户和企业的攻击行动,受攻击目标包括金融机构、电信公司、制造业公司、能源行业企业和媒体
首个已知的针对使用巴西葡萄牙语的用户和企业的攻击行动,受攻击目标包括金融机构、电信公司、制造业公司、能源行业企业和媒体。
特内里费,西班牙-2016年2月9日-卡巴斯基实验室全球研究和分析团队宣布发现一种名为波塞冬(Poseidon Group)的高级网络威胁攻击组织,该组织从2005年开始就在全球范围内进行网络间谍攻击行动。波塞冬组织之所以特别,是因为它是一个商业实体,它所发动的攻击采用定制的恶意软件,并且利用流氓数字证书进行了签名,用户从受害者窃取敏感数据,强制受害者同他们建立业务关系。此外,攻击所使用的恶意软件被设计为仅针对英语和巴西葡萄牙语版本的Windows计算机进行攻击。这种现象在针对性攻击中首次被发现。
确认的受攻击企业至少有35家,其中包括金融和政府机构、电信公司、制造行业企业、能源行业和其它服务公司以及媒体和公关公司。卡巴斯基实验室的专家还发现一些为企业高层提供服务的攻击同样遭遇到这一组织的攻击。遭遇攻击的国家主要包括:
- 美国
- 法国
- 哈萨克斯坦
- 阿联酋
- 印度
- 俄罗斯
但是,受害者主要还是集中在巴西,其中很多受害公司都是合资公司或合伙经营。
波塞冬攻击组织的一个特点是会大力利用基于域名的企业网络进行攻击。根据卡巴斯基实验室的分析报告,波塞冬组织依靠包含RTF/DOC文件的鱼叉式钓鱼邮件进行攻击,通常还会利用人力资源做诱饵,一旦有用户点击附件,会在受攻击系统上释放一个恶意二进制文件。另一个关键发现是恶意软件代码中包含巴西葡萄牙语字符串。根据恶意软件样本,该攻击组织主要攻击葡萄牙语系统,这种做法之前没有发现过。
计算机被感染后,恶意软件在企业网络内开始复杂的横向移动,之后会向命令和控制服务器进行报告。这一阶段通常会使用专用的工具,自动并且积极地收集多种信息,包括登陆凭证、组管理策略,甚至系统日志,以确保能够更深入地进行攻击。这样做,攻击者能够知道自己能够使用什么应用程序和命令,避免在横向移动和窃取信息时惊动网络管理员。
之后,让一家提供公开业务的企业利用这些收集到的信息威胁受害公司,强迫受害公司同波塞冬签署安全顾问合同。
“波塞冬组织是一个存在很久的攻击组织,其涉及领域非常广,包括陆地、天空和海上。我们发现该攻击组织的某些命令和控制中心位于向海上船只提供互联网服务和无线接入的互联网服务提供商(ISP)那里,此外还存在于普通的船只中,”卡巴斯基实验室拉丁美洲全球研究和分析团队总监Dmitry Bestuzhev说。“此外,我们还发现该攻击组织所使用的一些植入程序寿命很短,所以该攻击组织能够长时间不被发现。”
波塞冬组织已经活跃了至少十年,其用来设计植入程序的技术也在不断演化,使得很多研究人员很难发现其中的迹象并将这些研究结果结合起来。但是,通过仔细收集证据,追踪网络攻击者的行动,重构攻击者的时间线,卡巴斯基实验室专家在2015年年中确认,之前检测到的无法识别的攻击其实来自同一个攻击组织,即波塞冬组织。
卡巴斯基实验室的产品能够成功检测和清除所有已知版本的波塞冬组织恶意组件。
要阅读关于波塞冬组织的详细报告,包括恶意工具和统计数据以及感染后的迹象,请访问Securelist.com
要了解我们如何对复杂的针对性攻击进行调查,请访问:http://www.youtube.com/watch?v=FzPYGRO9LsA
更多关于网络间谍攻击行动详情,请访问https://apt.securelist.com/
