电脑装配网

安全警报:Gorgon APT的鱼叉式网络钓鱼活动

 人阅读 | 作者yiyi | 时间:2022-12-18 14:00

Gorgon APT(高级持久威胁)是一个老牌且高危的在线威胁,由Unit 42研究人员于2018年2月首次发现。

 

当研究人员在调查另一个威胁组织Subaat时,他们意识到这很可能是针对政府组织的较大团体的一部分时,揭露了Gorgon APT背后的团体。

 

Gorgon APT组织

 

自2018年2月首次被发现以来,Gorgon APT一直在策划对政府组织(美国、英国、俄罗斯、西班牙等)的攻击以及对全球企业目标的攻击。

 

今年1月,研究人员监测到一批针对中国外贸行业相关人士的定向攻击活动,本次攻击使用钓鱼邮件发送给目标收件人,最终释放Azorult远控木马,窃取被攻击者相关的隐私信息。经过关联分析,本次攻击疑似来自南亚某国的Gorgon组织。

 

当进行网络犯罪和针对国家的攻击时,Gorgon组织经常与他人共享其攻击基础设施,这使APT组织更易于跟踪这些操作。

 

在Gorgon APT的基础设施中,研究人员能够识别出几种犯罪软件样本,包括特洛伊木马、NjRat等远程访问工具(RAT)和LokiBot等信息窃取工具。这些软件都托管在Gorgon组织的命令和控制(C2)域上。

 

有趣的是,Gorgon APT不仅使用了传统的C2策略,它还使用了各种URL缩短服务来下载其有效负载。这使得其犯罪活动更加广泛,难以追踪、识别和根除。

 

鱼叉式网络钓鱼活动

 

尽管Gorgon APT的活动从2018年2月至今一直断断续续,但该组织现在又发起了一次新的鱼叉式钓鱼活动。

 

到目前为止,研究人员所了解的攻击目标都位于欧洲,但其他企业部门也应保持警惕。它以包含以下文本的电子邮件开头:

 

如上图所见,这里的诱饵是随附的Excel文档。一旦目标单击它,恶意文件将传递有效负载。XLS文件包含宏/ VBA代码,一旦打开文档,该代码就会启用。

 

就像以前的攻击一样,Gorgon APT连接到Pastebin并从那里下载并运行混淆的Javascript / VBA代码。

 

如何确保Gorgon APT和其他鱼叉式网络钓鱼活动的安全:

 

不要信任来自陌生人的电子邮件;

未经额外检查,请勿在任何地方输入凭据。

 

最后但同样重要的是,了解社会工程学是如何工作的,以及网络犯罪分子如何进入私人帐户,时刻保持警惕。

 


文章标签:

本文链接:『转载请注明出处』