卡巴斯基实验室警告人们注意一个被安全专家称为“加沙网络黑帮(The Gaza cbergang)”的使用阿拉伯语的网络犯罪组织
卡巴斯基实验室警告人们注意一个被安全专家称为“加沙网络黑帮(The Gaza cbergang)”的使用阿拉伯语的网络犯罪组织。该网络犯罪组织的活动范围主要位于MENA地区(中东和北非),集中在埃及、阿联酋和也门。这一网络犯罪组织早在2012年就开始活动,在2015年第二季度和第三季度尤为活跃。这些攻击者主要针对政府机构,尤其是大使馆进行攻击。其主要攻击目标为IT和应急响应小组人员。
Gaza网络黑帮会主动发送恶意文件给信息技术(IT)和应急响应(IR)人员。因为众所周知,在组织内部,IT人员通常比其他员工拥有更多的访问权限,因为这些人员需要管理和操作基础设施。所以,对网络罪犯来说,获取到这些人员的设备的访问权,比普通用户的价值大得多。应急响应人员需要对网络事件进行调查,所以同样能够访问一些组织内部的敏感数据,同时还具有特殊的访问权限,让他们可以在网络上追踪恶意或可疑行为。
尽管Gaza网络犯罪组织的攻击目标主要为政府机构,但他们使用的都是知名的远程控制工具(RAT),例如XtremeRAT和PosionIvy。Gaza黑帮主要通过钓鱼邮件,感染受害者。通过使用简单的感染工具和社交工程技巧,包括使用特殊的文件名、内容和域名(例如gov.uae.k*m),他们可以成功感染目标。网络罪犯用来在受害者计算机上释放恶意软件的文件名很多,包括:
- “Indications of disagreement between Saudi Arabia and UAE.exe”,
- “Wikileaks documents on Sheikh.exe”,
- “Scandalous pictures of Egyptian militants, judges and consultants”,
- “President Mahmoud Abbas cursing Majed Faraj.exe”,
- “Leaked conversation with the Egyptian leader of military forces Sodqi Sobhi.exe”,
- “Secret_Report.exe”,
- “Military Police less military sexual offenses, drug offenses more.exe”
“根据受攻击目标列表,我们可以发现其中包括很多中东和北非地区的政府机构,所以,我们认为这起网络攻击具有政治目的。通过获取被感染计算机的控制权和访问权,网络罪犯有机会窃取重要的信息,并且可能造成严重的破坏。对网络攻击进行定性非常复杂,而且很多时候是无法做到的。目前,我们仍不知道这起攻击的幕后指使人是谁,”卡巴斯基实验室全球研究和分析团队资深安全研究员Mohammad Amin Hasbini说。
为了降低被这一网络犯罪组织所使用的恶意工具感染的风险,卡巴斯基实验室安全专家推荐用户采取以下措施:
- 提防带有附件的电子邮件;
- 保持软件更新,尤其是使用广泛,并且经常被网络罪犯利用进行攻击的软件;
- 如果你发现自己的设备上有包含漏洞的软件,而且目前还没有补丁可用,请暂时不要使用该软件;
- 使用可靠的反恶意软件解决方案。
要了解更多详情,请阅读Securelist.com上的相关博文。
