信息化觀察網(wǎng)

社會工程是一系列網(wǎng)絡(luò)攻擊所使用的核心技術(shù)，這意味著用戶是防御這些攻擊的關(guān)鍵。

安全公司邁克菲發(fā)現(xiàn)，針對政府、軍事、能源和金融部門機(jī)構(gòu)的惡意軟件瞄準(zhǔn)了24個國家，英國就是其中之一。

此次代號為“神槍手”（Operation Sharpshooter）的黑客行動在2018年的10月到11月期間，攻擊了24個國家的大約100家公司。

“神槍手”通過偽裝成招聘信息的網(wǎng)絡(luò)釣魚電子郵件，獲取訪問權(quán)限后，使用內(nèi)存植入來下載一款名為“Rising Sun”的惡意程序，這是一個功能齊全的模塊化后門，可在受害者的網(wǎng)絡(luò)上進(jìn)行偵察，以訪問機(jī)器級信息，包括文檔、用戶名、網(wǎng)絡(luò)配置和系統(tǒng)設(shè)置。

在2014年，索尼公司和韓國的一些公司遭遇了網(wǎng)絡(luò)攻擊，那次網(wǎng)絡(luò)攻擊使用的是一款名為Duuzer的木馬后門，而Rising Sun就是這個后門的變體。

“神槍手”黑客行動與朝鮮黑客組織Lazarus有許多的技術(shù)聯(lián)系，但邁克菲研究人員表示，現(xiàn)在下結(jié)論還為時過早，無法確定該組織對此次黑客行動負(fù)責(zé)，這可能只是一個嫁禍于人的做法。

在2018年10月和11月，研究人員在全球的87個公司中（美國的公司占多數(shù)）發(fā)現(xiàn)了Rising Sun植入式惡意程序，其中大多數(shù)目標(biāo)公司要么是說英語，要么是在說英語的區(qū)域辦公。

研究人員表示，這款新型、高功能的植入式惡意軟件是黑客嘗試從攻擊目標(biāo)獲得情報的一個例子。

分析表明，該惡意軟件分幾步執(zhí)行。初始的攻擊載體是一個包含宏的文檔，用于下載下一步攻擊階段，該階段在內(nèi)存中運(yùn)行并收集情報。受害者的數(shù)據(jù)被發(fā)送到控制服務(wù)器以供攻擊執(zhí)行者監(jiān)控，然后該執(zhí)行者會確定接下來的步驟。

研究人員表示，目前尚不清楚他們觀察到的攻擊是否是第一階段的偵察行動，并在接下來有更多的攻擊行為。他們表示：“我們將會繼續(xù)監(jiān)控這一活動，并在我們或安全行業(yè)的其他人員獲得更多信息時再做進(jìn)一步匯報。”

邁克菲首席科學(xué)家兼研究員Raj Samani表示，“神槍手”黑客行動是復(fù)雜和針對性的攻擊，用于為惡意行為執(zhí)行者獲取情報。

“然而，盡管很復(fù)雜，但這次黑客活動取決于某種程度上的社會工程，這種社會工程可以很容易地減少企業(yè)的警惕性和溝通。”他說道。

“企業(yè)必須找到合適的人員、流程和技術(shù)組合，以有效保護(hù)自己不受初始攻擊，當(dāng)有威脅出現(xiàn)時，對這一威脅進(jìn)行檢測；如果成為了攻擊目標(biāo)，那么就要快速糾正系統(tǒng)。”

網(wǎng)絡(luò)釣魚響應(yīng)不足

反網(wǎng)絡(luò)釣魚培訓(xùn)公司Cofense的歐洲銷售和工程總監(jiān)David Mount表示，該公司的調(diào)查顯示，78％接受調(diào)查的歐洲公司都曾經(jīng)歷過因一封詐騙電子郵件而導(dǎo)致的安全事件。

他說：“因此，像“神槍手”黑客行動這樣有針對性的社會工程攻擊能夠取得成功，不足為奇。有57％的人表示他們的網(wǎng)絡(luò)釣魚響應(yīng)毫無效率，員工通常認(rèn)為是網(wǎng)絡(luò)釣魚的問題。”

“然而，我們的模擬數(shù)據(jù)趨勢表明，人們實(shí)際上可以成為這一關(guān)聯(lián)中最強(qiáng)大的環(huán)節(jié)。訓(xùn)練有素的用戶群會舉報網(wǎng)絡(luò)釣魚和詐騙行為，這在幾乎所有行業(yè)都是如此，并直接駁斥了許多企業(yè)廣泛接受的假設(shè)。”

Mount說，公司無法對他們看不到的攻擊進(jìn)行防御，并補(bǔ)充稱這與“神槍手”黑客行動尤為相關(guān)。

“在2017年6月，Cofense Intelligence發(fā)布了一項(xiàng)戰(zhàn)略解析，內(nèi)容涉及使用文件共享服務(wù)（如Dropbox）作為繞過外圍控制的策略，這也是“神槍手”黑客行動所采用的策略。但是，通過調(diào)整策略來讓用戶識別和匯報這些類型的攻擊，公司可以加強(qiáng)最后的防線并保護(hù)用戶。”

原文作者：Warwick Ashford