卡巴斯基实验室专家发现臭名昭著的Gaza Team网络犯罪组织的行动出现重要变化,该网络犯罪组织一直在对位于中东和非洲(MENA)地区的多家商业和政府组织实施攻击。
卡巴斯基实验室专家发现臭名昭著的Gaza Team网络犯罪组织的行动出现重要变化,该网络犯罪组织一直在对位于中东和非洲(MENA)地区的多家商业和政府组织实施攻击。该攻击组织多年以来一直活跃在网络威胁领域。2017年,他们升级了自己用于攻击的武器库,即采用了最新的恶意工具。
至少从2012年以来,Gaza Team网络犯罪组织就一直不断地对中东和非洲地区(MENA)的政府大使馆、外交和政治机构以及石油和天然气企业以及媒体实施攻击,而且会定期使用新的恶意软件。2015年,卡巴斯基实验室研究人员发现该攻击组织的恶意行动出现了显著变化,并对相关情况进行了报告。当时,我们发现这些攻击者开始对IT人员以及事故响应人员实施攻击,试图获取到合法安全评估工具,大大降低了其行为在受攻击网络中的可见性。2017年,卡巴斯基实验室研究人员发现Gaza网络犯罪组织又掀起一波攻击狂潮。
最新一波攻击的攻击目标和地理位置保持不变,但是攻击行动的规模扩大了。我们发现攻击者试图获取中东和非洲地区的任何类型情报,在这之前的攻击中未曾出现。更为重要的是:攻击工具变得更为复杂——该攻击组织开发了针对性的涉及地域和地缘政治的鱼叉式钓鱼文档,用于将恶意软件传播给目标,同时使用可攻击相对较新漏洞的漏洞利用程序(即Microsoft Access的CVE 2017-0199漏洞)甚至安卓间谍软件来攻击目标。
入侵者通过发送包含多种RAT(远程访问木马)的伪造Office文件或指向恶意页面的URL链接来执行自己的恶意行为。当用户执行这些文件或访问受感染链接时,受害者就会被恶意软件感染,从而让攻击者可以从受害者设备上收集文件,记录击键行为以及获取截图。如果受害者检测到了最初被下载到设备上的恶意软件,下载器会在设备上安装其他文件以绕过检测。
卡巴斯基实验室的进一步调查显示,该黑客组织可能还在使用手机恶意软件:在对Gaza Team的行为进行分析过程中,我们发现了一些文件名似乎和安卓木马相关。这些攻击技巧的升级使得Gaza Team能够绕过安全解决方案,长时间地操纵受害者的系统。
我们连续多年来观测到的Gaza Team网络犯罪组织的持续攻击行动表示,在网络间谍威胁方面,中东和非洲(MENA)地区的安全非常让人担忧。由于该攻击组织的攻击技巧有了大幅提升,我们预计不久的将来,Gaza网络犯罪组织的攻击将更为猛烈。他们攻击目标范围内的用户和组织应当更加谨慎,注意在线安全,”卡巴斯基实验室安全专家David Emm说。
卡巴斯基实验室产品能够成功检测和拦截利用上述手段实施的攻击。
为了避免成为这类攻击的受害者,卡巴斯基实验室研究人员建议采取以下安全措施:
- 对员工进行培训,让他们能够识别鱼叉式钓鱼邮件,或者区分合法邮件和钓鱼邮件,区分普通链接和钓鱼链接;
- 使用经过验证的企业级端点安全解决方案,结合专门针对高级威胁的保护,例如卡巴斯基反针对性攻击平台,可利用分析网络异常来拦截攻击;
- 为安全人员提供对最新威胁情报数据的访问,这些数据对于安全人员研究针对性攻击和预防攻击提供工具,例如感染迹象(IOC)和YARA。
- 更多有关Gaza网络攻击组织行动的详情,请浏览Securelist上的博文。