真情服务  厚德载物
今天是:
联系我们

市场部:0564-3227239
技术部:0564-3227237
财务部: 0564-3227034
公司邮箱:lachs@126.com
技术邮箱:cc1982@163.com
地址:六安市淠望路103号

当前位置:首 页 > 技术中心 > 存储设备 > 查看信息
瑞星捕获黑客组织Lazarus针对军工行业最新攻击行动
作者:永辰科技  来源:瑞星  发表时间:2022-4-21 9:03:56  点击:4249

近日,瑞星威胁情报中心捕获到一起专门针对军工领域从业人员发起的APT攻击事件,通过分析发现此次事件的主谋为Lazarus组织,该组织通过伪造国际知名军工企业洛克希德·马丁公司的招聘文件为诱饵,诱骗军工领域相关人员点击并执行带有恶意程序的文件,从而达到窃取机密信息、远程控制的目的。

图:攻击流程

据悉,Lazarus组织是一个自2007年就开始对目标进行网络攻击的威胁组织,该组织又被称为APT-C-26、T-APT-15等,是现今最活跃的威胁组织之一。该组织疑似来自朝鲜,具有国家背景。其除了擅长信息盗取、间谍活动外,还会蓄意破坏用户主机,以牟取经济利益,攻击的国家包括中国、德国、澳大利亚和日本等,涉及的领域有航空航天、政府、医疗、金融和媒体等。

瑞星安全专家介绍,在此次攻击事件中,Lazarus组织通过伪造的国际知名军工企业洛克希德·马丁公司的高级职务招聘文件作为诱饵,向军工领域从业人员投放名为“LMCO_Senior Systems Engineer_BR09.doc ”的文档,以此诱骗目标用户点击查看。而该文档内容则显示为乱码,其目的就是为了诱导用户点击“启用内容”,一旦用户点击启动了这个宏代码,后台就会释放并执行内嵌于文档中的恶意程序,开启攻击行为。由于该文档极具诱惑性和隐蔽性,因此普通用户难以防范,极易受骗。

图:诱饵文档

瑞星安全专家表示,此次攻击事件中的恶意样本为远程控制类病毒,具有收集本地敏感信息、连接远程服务器、上传信息并接受命令等基本功能,同时与远程服务器的双向通信数据都经过编码处理,因此可以有效的逃避以检测特征码为主要防御手段的流量监控,其隐蔽性极高。而此次攻击目标特别针对军工领域从业人员,因此该类用户应格外警惕,加强防范,避免攻击。目前,瑞星ESM防病毒终端安全防护系统可拦截并查杀此次攻击携带的相关病毒,广大用户可安装使用,规避相应风险。

图:瑞星ESM防病毒终端安全防护系统查杀相关病毒

瑞星公司表示,由于APT攻击有着针对性强、组织严密、持续时间长、高隐蔽性和间接攻击的显著特征,且针对的目标都是具有重大信息资产,如国家军事、情报、战略部门和影响国计民生的行业如金融、能源等,因此国内相关政府机构和企业单位务必要引起重视,加强防范,做到以下几点:

1. 不打开可疑文件。

不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。

2. 部署网络安全态势感知、预警系统等网关安全产品。

网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。

3. 安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。

杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。

4. 及时修补系统补丁和重要软件的补丁。

 
 
 
合作伙伴
微软中国 | 联想集团 | IBM | 苹果电脑 | 浪潮集团 | 惠普中国 | 深信服 | 爱数软件 | 华为
六安市永辰科技有限公司 版权所有 © Copyright 2010-2021 All Rights 六安市淠望路103号 最佳浏览效果 IE8或以上浏览器
访问量:3009847    皖ICP备11014188号-1