援引外媒TechCrunch報導,美國政府官員近期向安全專家提供了被認為曾在去年被朝鮮黑客用於發動數十次有針對性網路攻擊而扣押的伺服器,而這種舉動非常的罕見。這批被扣押的伺服器叫做Operation Sharpshooter(神槍手),於去年12月首次發現,用於專門針對政府、電信公司和國防承包商傳播惡意軟體。
黑客通過電子郵件傳送惡意Word文件,一旦這些文件被開啟就會執行巨集程式碼下載第二階段的植入程式碼--Rising Sun,黑客然後利用它進行偵查和竊取使用者資料。Operation sharpshot,所涉及到的行業包括核能、防禦、能源、金融等。
根據McAfee高階威脅研究團隊和McAfee Labs惡意軟體研究團隊的深入研究,發現Rising sun植入中使用了朝鮮黑客組織Lazarus Group在2015年使用的Backdoor.Duuzer木馬的原始碼,因此有理由相信操縱這些伺服器的就是Lazarus Group,但是目前始終沒有直接證據。
在安全專家對這些伺服器程式碼進行檢查之後,發現Operation Sharpshooter的運營時間比最初認為的還要長,最遠可追溯到2017年9月。而且調查結果顯示針對的行業和國家很多,包括金融服務,以及歐洲,英國和美國的關鍵基礎設施。
研究表明這些伺服器以惡意程式的命令和控制的基礎設施進行運作,使用PHP和ASP網頁語言建立網站和編寫網頁端應用程式,使其易於部署和高度可擴充套件。伺服器後端的諸多元件可以方便黑客向目標發動攻擊,每個元件都扮演特定的角色,例如植入下載器(implant downloader):從另一個下載器託管和備份植入程式碼和命令註釋器(command interpreter):通過中間黑客伺服器操作Rising Sun植入物,以幫助隱藏更廣泛的命令結構。
儘管有證據表明Lazarus集團,但日誌檔案中的證據顯示據稱來自奈米比亞的一批IP地址,研究人員無法解釋。
來源:cnBeta.COM
宣告:本網站所提供的資訊僅供參考之用,並不代表本網站贊同其觀點,也不代表本網站對其真實性負責。
更多資訊: