1. 威客安全首页
  2. 安全资讯

安全警报:Gorgon APT的鱼叉式网络钓鱼活动

Gorgon APT(高级持久威胁)是一个老牌且高危的在线威胁,由Unit 42研究人员于2018年2月首次发现。

安全警报:Gorgon APT的鱼叉式网络钓鱼活动

当研究人员在调查另一个威胁组织Subaat时,他们意识到这很可能是针对政府组织的较大团体的一部分时,揭露了Gorgon APT背后的团体。

Gorgon APT组织

自2018年2月首次被发现以来,Gorgon APT一直在策划对政府组织(美国、英国、俄罗斯、西班牙等)的攻击以及对全球企业目标的攻击。

今年1月,研究人员监测到一批针对中国外贸行业相关人士的定向攻击活动,本次攻击使用钓鱼邮件发送给目标收件人,最终释放Azorult远控木马,窃取被攻击者相关的隐私信息。经过关联分析,本次攻击疑似来自南亚某国的Gorgon组织。

当进行网络犯罪和针对国家的攻击时,Gorgon组织经常与他人共享其攻击基础设施,这使APT组织更易于跟踪这些操作。

在Gorgon APT的基础设施中,研究人员能够识别出几种犯罪软件样本,包括特洛伊木马、NjRat等远程访问工具(RAT)和LokiBot等信息窃取工具。这些软件都托管在Gorgon组织的命令和控制(C2)域上。

有趣的是,Gorgon APT不仅使用了传统的C2策略,它还使用了各种URL缩短服务来下载其有效负载。这使得其犯罪活动更加广泛,难以追踪、识别和根除。

鱼叉式网络钓鱼活动

尽管Gorgon APT的活动从2018年2月至今一直断断续续,但该组织现在又发起了一次新的鱼叉式钓鱼活动。

到目前为止,研究人员所了解的攻击目标都位于欧洲,但其他企业部门也应保持警惕。它以包含以下文本的电子邮件开头:

安全警报:Gorgon APT的鱼叉式网络钓鱼活动

如上图所见,这里的诱饵是随附的Excel文档。一旦目标单击它,恶意文件将传递有效负载。XLS文件包含宏/ VBA代码,一旦打开文档,该代码就会启用。

就像以前的攻击一样,Gorgon APT连接到Pastebin并从那里下载并运行混淆的Javascript / VBA代码。

如何确保Gorgon APT和其他鱼叉式网络钓鱼活动的安全:

  • 不要信任来自陌生人的电子邮件;
  • 未经额外检查,请勿在任何地方输入凭据。

最后但同样重要的是,了解社会工程学是如何工作的,以及网络犯罪分子如何进入私人帐户,时刻保持警惕。

原文链接:http://www.mottoin.com/detail/4207.html

本站声明:网站内容来源于mottoin,如有侵权,请联系我们,我们将及时处理。

本文转为转载文章,本文观点不代表威客安全立场。

联系我们

4006-119-120

在线咨询:点击这里给我发消息

邮件:public@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

X