• 首页 > 信息融合频道 > 网络安全

    腾讯御见威胁情报中心:MuddyWater(污水) APT组织再度活跃

    2018年07月23日 15:20:56   来源:中文科技资讯

      近日,腾讯御见威胁情报中心监控到MuddyWater(污水) APT组织再度利用宏文档进行载荷投递,通过搜索引擎查询发现,该组织利用的宏文档中嵌有“mersin emniyet müdürlüğü”关键字的图标文件,初步推断是针对土耳其相关部门发起的一次定向攻击。目前,该类攻击并未在我国发现。

      据了解,MuddyWater(污水) APT组织以从事网络间谍活动为目的,主要攻击目标集中在政府、金融、能源、电信等相关部门,受害者主要分布在土耳其、巴基斯坦、沙特阿拉伯、阿联酋、伊拉克等中东地区国家。自2017年11月被曝光以来,该组织擅长利用powershell等脚本后门,通过powershell在内存中执行,减少新的PE文件在受害者机器落地,行动极为隐蔽,安全软件难以捕捉。这种方式使得该组织的样本有着较低的检测率,同时也加大了安全机构的取证难度。

      (图:MuddyWater(污水)APT组织攻击流程)

      今年3月,该组织便开始活跃,并针对土耳其相关部门发起定向攻击,此次再度来袭依然延续了手握大量攻陷网站的特点,目的是进行诱饵的投递及胜利果实的回收。不过技术方面得到了进一步优化,全程使用经过多次高度混淆的powershell脚本,关键的木马功能以云控的方式进行下发,以便掩盖其攻击目的。另外脚本一旦运行后,会设置开机自启动、解密c2(指后门、木马控制服务器)、创建任务计划、获取计算机信息等,然后不断地访问c2,等待和执行新指令。

      据腾讯电脑管家安全专家、腾讯安全反病毒实验室负责人马劲松介绍,该组织攻击使用的宏文档中背景故意做得比较模糊,但是图标及启用宏的提示文字却异常鲜艳,这是一种典型的社会工程学式的攻击方式,目的是让受害者在好奇心的驱使下点击“启动内容”按钮,从而让藏在文档中的木马运行起来。对此,他提醒广大用户,切勿随意打开来历不明的文档,可利用腾讯电脑管家哈勃分析系统进行安全检测。同时,政府及企业用户可通过腾讯安全“御界防APT邮件网关”,解决恶意邮件的攻击威胁。

      (图:腾讯御界高级威胁检测系统)

      目前,腾讯御界高级威胁检测系统已经可以检测并阻断该轮攻击的连接行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。

      凭借基于行为的防护和智能模型两大核心能力,御界高级威胁检测系统可高效检测未知威胁,并通过对企业内外网边界处网络流量的分析,感知漏洞的利用和攻击。通过部署御界高级威胁检测系统,及时感知恶意流量,检测钓鱼网址和远控服务器地址在企业网络中的访问情况,保护企业网络安全。

      来源:XXX(非中文科技资讯)的作品均转载自其它媒体,转载请尊重版权保留出处,一切法律责任自负。

      文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。有事反馈发邮件至news#citnews.com.cn(发送时将#替换为@)。

    [上传用户: S011]
    分享到微信

    推荐

    新闻

    研究发现美国人每天至少查看手机52次

    德勤最近做了一项名为2018年全球移动消费者调查(Global Mobile Consumer Survey)的研究。该机构发现,美国人平均每天至少会看52次手机。

    互联网+

    马斯克:Model 3明年3/4月可能交付中国消费者

    11月16日消息,中国消费者可能最早在明年3月或者4月份就能够提取他们的Model 3汽车,特斯拉CEO伊隆·马斯克在推特中称,有可能在3月份为中国消费者提供部分产品,但4月份的可能性更大。

    融合

    当年DIYer迷恋装电脑 如今他们转向了人工智能

    11月19日消息,据国外媒体报道,像曾经的DIY电脑一样,现在也有很多人工智能爱好者在利用现有的工具和数据开发自己的人工智能系统。

    创投

    苹果与奥斯卡获奖电影公司A24达成协议 制作原创电影

    北京时间11月16日消息,知情人士称,苹果公司已经与娱乐公司A24达成了一份多年协议,为公司制作原创电影。