标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2024-1362] 作者: ecawen 发表于: [2018-02-28]
本文共 [769] 位读者顶过
Palo Alto Networks公司威胁情报团队Unit 42的研究人员最近发现,与伊朗存在关联的黑客组织OilRig目前正在使用一种名为“OopsIE”的新型木马病毒,位于中东地区的一家保险机构以及一家金融机构成为了最新的攻击目标。 [出自:jiwo.org] Unit 42曾指出,OilRig至少自2015年以来就一直在针对以色列、中东地区和其他国家发起攻击。它曾建立了一个虚假的VPN门户网站来传播具有合法数字签名的恶意软件,攻击目标涉及位于沙特阿拉伯、以色列、阿联酋、黎巴嫩、科威特以及卡塔尔、美国、土耳其等多个国家的政府机构、金融机构、邮局以及科技公司等。 此次针对保险机构的攻击发生在1月8日,OilRig在六分钟的时间里向该机构发送了两封不同的电子邮件,但主题都是“贝鲁特保险研讨会邀请函”。 OilRig使用的不同的发件地址来扮演了两个不同的角色,以增加可信度。从域名来看,这两个消息都来自与全球主要金融机构的黎巴嫩域名相关的电子邮件地址。 电子邮件中包含有一个名为“Seminar-Invitation.doc”的附件,这是一个恶意的Microsoft Word文档,在2017年8月份被Unit 42追踪为“ThreeDollars”。在对这个文档进行分析后,研究人员发现了新的有效载荷,并将其命名为“OopsIE”。
在1月16日的攻击中,OilRig并没有再次使用ThreeDollars文档,而是试图通过电子邮件中的链接直接传播给受害者机构。在这种情况下,木马病毒会直接从命令和控制(C&C)服务器下载。 在这起攻击事件中还有一个有意思的地方,遭受攻击的金融机构早在一年前,也就是2017年1月份就已经成为了OilRig攻击活动的受害者。这起重复攻击可能表明OilRig在目标组织中失去了立足点,也可能是目标组织可能具有了更高的攻击价值。 Unit 42表示,OilRig仍然是活跃在中东地区,并对该地区国家安全构成严重威胁的黑客组织。不仅如此,该组织还在继续发展壮大,在Unit 42的观察中,OilRig已经部署了大量更为先进的黑客工具。这些黑客工具通常是OilRig之前使用工具的变体,虽然这些工具已经随着时间的推移产生了变化,但在每个监测周期中,它们在攻击形式上仍保持着一定的延续性。 |