安全公司McAfee透露了证据表明,2018年暴露的锐利运动员运动的夏普行动运动员在复杂性,范围和持续时间内更广泛。
该活动使用通过电子邮件发送的恶意Microsoft Word文档,该文件将运行宏以下载植入物,该攻击者用于进行侦察和窃取数据。
英国ISONE至少由全球恶意软件运动为目标的至少24个国家,旨在超过80多个政府,军事,能源,电信和金融部门组织。
在将一个政府的目标下,该研究人员能够罕见地看待一个国家州Cyber间谍活动的运作,以便由一个政府的目标为该竞选活动提供了一个竞选活动。
这为此提供了有机会,详细分析负责管理业务,工具和商标管理的服务器的代码和数据进行详细分析,以前从2018年10月到11月开始运行。
该分析导致了识别若干以前未知的命令和控制中心,并表示SharpShooter早在2017年9月开始,目标是在更多行业和国家的广泛组织,并且它目前正在进行中。
“McAfee先进的威胁研究分析命令和控制服务器的代码和数据可以更加了解SharpShooter开发和CONPD控制基础架构的肇事者如何如何分发恶意软件以及他们如何在发布前悄悄测试广告系列,”拉杰萨曼尼,迈克菲·别人和首席科学家。
“这种情报在深化对对手的理解方面非常宝贵,最终导致更好的防御。”
对新证据的分析暴露于2018年锐利攻击的技术指标,技术和程序之间存在着惊人的相似之处,以及由行业归因于朝鲜的拉撒路集团的多个其他攻击组的方面。
这包括例如本集团使用追溯到2017年的冉冉升起的Sun植入物的类似版本,以及2014年Chesony网络攻击中集团的臭名昭着的后门特洛库布纽布布胺的源代码,并攻击韩国组织。
“技术证据往往不足以彻底了解网络攻击,因为它没有向难题提供所有的碎片,”麦克菲·高级总公司和主导科学家克里斯岛·贝克说。
“访问对手的命令和控制服务器代码是一个难得的机会。这些系统提供了对网络攻击基础设施内部运作的见解,通常被执法部门扣押,并且只有很少向私营部门研究人员提供。通过访问此代码获得的洞察力是在努力理解和打击当今最突出和复杂的网络攻击活动的努力中是不可或缺的。“
据研究人员称,这些袭击事件似乎大约一年的比先图已经过大约一年,这些袭击主要介绍金融服务,政府和关键基础设施。
最近最近的攻击最多主要是德国,土耳其,英国和美国。以前的攻击侧重于电信,政府和金融部门,主要是在美国,瑞士,以色列等,包括英国。
对新证据的分析还透露,操作SharpoOroper股票与几个广告系列有多种设计和战术重叠,例如2017年在2017年进行的类似假工作招聘活动,即Lazarus集团的行业属性。
虽然有达拉马鲁斯的联系,但研究人员不愿意确认朝鲜集团负责,这引用了明显的链接被用作虚假标志来隐藏另一个攻击者的身份,但现在该链接似乎更肯定据说信心水平要高得多。
2017年12月,英国和美国各国政府表示,拉撒路集团负责2017年5月在全球各地打击组织的武器袭击。
McAfee表示,对命令和控制服务器代码和文件日志的分析还发现了源自纳米比亚的Windhoek市的IP地址网络块。这使得McAfee研究人员怀疑SharpShooter后面的演员可能在推出更广泛的攻击运动之前测试了他们的植入物和其他技术。
攻击者一直在使用具有在超文本预处理器(PHP)和Active Server Pages(ASP)中写入的核心后端的命令和控制基础架构。代码似乎是习惯的,小组和McAfee的分析均显示自2017年以来一直是其运营的一部分。
研究人员表示,锐利的攻击者使用了“工厂类似”的过程,其中各种恶意组成落在阳光下的核心植入功能之外。这些组件出现在追溯到2016年的各种植入物中,这是一个指示攻击者可以访问一组发达的功能。
在初始发现操作SharpShooter之后,McAfee研究人员表示恶意软件通过作为招聘信息的AphisteMail获得目标网络。
当时,萨曼说,尽管其复杂程度,活动取决于一定程度的社会工程,可以减轻企业的“警惕和沟通”,可以减轻。
“企业必须找到人,过程和技术的合适组合,有效保护自己免受原来的攻击,检测威胁,因为有针对性的,快速纠正系统,”他说。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。