(文章来源:CSNA网络分析论坛)
Palo Alto安全研究人员公布了关于OilRig网络间谍组织的数据。该组织专门针对阿拉伯金融机构、技术组织机构和国防机构发动攻击。
该组织最近发动攻击的时间是2016年5月,而且似乎跟专门针对中东国家银行的大规模攻击活动有关。安全研究人员分析指出,犯罪分子利用两种不同的方式部署名为Helminth的后门。
首先,犯罪分子通过基于Excel的方法利用宏传播VB和PowerShell脚本,随后下载Helminth后门木马,然后伪装成 DNS请求来转移被盗数据。第二种传播方式是通过邮件ZIP附件来传播Windows可执行文件。这两种传播方法都是为了发送钓鱼邮件。安全研究人员表示 其中一些TTP跟2015年秋天针对阿拉伯国防行业的其它网络攻击类似,不过后者至今尚未公布。
研究人员还发现攻击者来自伊朗,攻击者似乎注册了很多僵尸网络域名。(测腾/文) |
发表于 2016-6-2 10:07:58
