朝鲜APT黑客要对数字货币动手?专家提醒警惕不明邮件

作者:changfu001 2018-03-13 浏览:49704
导读: 腾讯科技讯 近日,腾讯御见威胁情报中心监测到疑似朝鲜的黑客组织 Lazarus 再度活跃,利用最 Flash 漏洞 CVE-2018-4878 频繁发起攻击,通过传播暗藏 FALLCHILL 远程控制木马的恶意 doc文档进行鱼叉攻击,对象主要为国外数字货币交易所。从 Adobe 漏洞致谢公告来看,...

腾讯科技讯 近日,腾讯御见威胁情报中心监测到疑似朝鲜的黑客组织 Lazarus 再度活跃,利用最 Flash 漏洞 CVE-2018-4878 频繁发起攻击,通过传播暗藏 FALLCHILL 远程控制木马的恶意 doc文档进行鱼叉攻击,对象主要为国外数字货币交易所。

从 Adobe 漏洞致谢公告来看,CVE-2018-4878漏洞的野外攻击样本最早是由韩国计算机应急响应小组(KR-CERT)发现。而 KR-CERT 也表示,来自朝鲜的黑客组织已经成功利用这个 0Day  漏洞发起攻击,与 Lazarus 主要攻击目标一致,进一步验证了 Lazarus 组织就是本次攻击活动的发起者。

虽然该攻击目前尚未在我国发现,但国内用户仍不可放松警惕。腾讯安全联合实验室反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒政府、企业等用户,切勿随意打开来历不明的邮件附件,同时建议安装腾讯电脑管家等安全软件,可有效抵御不法分子的攻击。

随着数字货币在投资市场上不断受追捧,其蕴藏的巨大利益也吸引了不法分子的注意。近年来,不法黑客针对政府、机构、企业的攻击活动愈发频繁,其攻击手段也日趋多样化,影响范围更为广泛。《腾讯安全 2017 年度互联网安全报告》指出,2018 年由数字加密货币而起的犯罪活动或将呈现高发态势。据国外安全公司的调查显示,本次发起攻击的 Lazarus 组织与 2017 年美国国防承包商、美国能源部门及英国、韩国等比特币交易所被攻击等事件有关。2017 年席卷全球的“WannaCry”勒索病毒安全事件也被怀疑是该组织所为。

据了解,Lazarus(T-APT-15)组织是来自朝鲜的 APT 组织,该组织长期对韩国、美国进行渗透攻击,此外还对全球的金融机构进行攻击。尽管 Lazarus 组织的攻击活动不断地被披露,但是该组织从未停止攻击的脚步,同时还把攻击目标不断扩大,包括能源、军事、政府等部门专项金融机构,尤其是数字货币交易所等,该组织堪称全球金融机构的最大威胁。

Lazarus 组织擅长使用邮件钓鱼进行鱼叉攻击,同时武器库强大,具有使用 0day 漏洞发起攻击的能力。本次攻击依然采用该组织最常用的鱼叉攻击,通过内嵌恶意文档对目标进行攻击。不法分子十分狡猾,将邮件文档伪装成协议、最流行的加密货币交易所的安全分析、IT 安全等热点内容,具有极强的迷惑性和诱惑性,以此吸引用户下载运行。

朝鲜1.jpg

诱饵文档内容

腾讯安全反病毒实验室经过分析溯源发现,该恶意文档卸载的载荷为 FALLCHILL 远程控制木马最新变种。FALLCHILL 木马是朝鲜的黑客组织 Lazarus 开发并使用的木马,最早出现于 2017 年初。该木马能够实现远程文件操作、远程进程操作、远程信息获取、自卸载等各种功能,用户一旦中招,电脑重要信息将面临极大威胁。

朝鲜2.jpg

腾讯御界高级威胁检测系统

针对类似的恶意攻击,马劲松建议广大用户,不要轻易点击来历不明的文件,可利用腾讯电脑管家诈骗信息查询窗口和腾讯哈勃分析系统进行安全检测。同时,企业用户可通过腾讯安全“御界防 APT 邮件网关”,解决恶意邮件的攻击威胁。


转载请注明出处:changfu001,如有疑问,请联系(13789339)。
本文地址:https://www.chinajj.org.cn/post/49.html