近日,据腾讯御见威胁情报中心监测发现,伊朗的APT组织——“人面马”(T-APT-05)再度活跃。该组织在 2017 年 12 月 7 日被FireEye披露后,在短短一个多月的时间内连续发起 5 次攻击活动,主要攻击目标集中在中东地区的政府、金融、能源、电信等行业用户。
目前该攻击虽然尚未在国内地区发现,但同样不可放松警惕。腾讯电脑管家提醒国内用户警惕来历不明的邮件,保持腾讯电脑管家等安全软件开启装填,抵御不法分子的攻击。
“人面马”组织(T-APT-05),又称APT34、Oilrig、Cobalt Gypsy,是一个来自于伊朗的APT组织。该组织武器库齐全,基础设施资源丰富,技术强大,当今最新的漏洞及其它最新的攻击技术都会被利用。本次攻击活动主要通过鱼叉钓鱼发起攻击,将木马病毒植入office文档、chm帮助文档等诱饵文件,并通过订单信息等邮件内容和政治敏感内容诱导收件人打开查看。攻击者窃取的用户信息,比如浏览器保存的账号密码、键盘和鼠标记录、摄像头拍照或录制视频、麦克风录制声音、系统信息等敏感信息,窃取加密货币钱包中的密钥和vpn凭证等,令中招用户遭遇隐私泄露甚至是严重的财产损失。
通过分析近期的几次攻击活动,腾讯御见威胁情报中心指出,该组织不止攻击武器库一直在不断地进行升级,攻击手法也越来越高明,从最初容易检出的样本到发展到今天杀毒软件极难检测的脚本木马及jar版木马,甚至还包括chm文件藏毒、word藏毒、漏洞利用、钓鱼攻击、dns tunneling技术等手段,无所不用其极。即使被曝光后某些技术手段失效,但是只要被攻击目标存在价值,攻击组织的行动就会持续。
(图:“人面马”某个诱饵文件的主要攻击流程)
腾讯电脑管安全专家、腾讯安全反病毒实验室负责人马劲松建议广大用户,不要轻易点击来历不明的文件,可通过腾讯电脑管家诈骗信息查询窗口和腾讯哈勃分析系统进行安全检测。此外,对于企业用户,可通过腾讯安全“御界防APT邮件网关”,解决恶意邮件的攻击威胁。