我们的安全专家发现了一个专门从事工业企业间谍活动的网络犯罪团伙,他们可能从2018年就开始活跃了,擅长发动目标性攻击,其使用的工具搜寻受害者计算机上的文档文件,我们的研究人员将此工具命名为MontysThree。
MontysThree感染计算机的方式
这些网络不法分子们渗透受害者计算机时使用的技术正是经典的鱼叉式钓鱼攻击,他们向工业企业员工发送钓鱼邮件,邮件中的附件看似是pdf或者doc后缀的文档,其实是可执行程序。这些文件通常名为”企业数据更新”、”技术参数”或者”2019年员工通讯录”之类,还有攻击者将文件伪造成名为”医疗分析结果”或者”Invitro-106650152-1.pdf”(Invitro是俄罗斯最大的医疗实验室之一)的医疗文档。
攻击者的目标
MontysThree的目标为各种目录下和连接媒介中的微软Office文件以及Adobe Acrobat格式的文件。在感染受害者计算机之后,恶意程序搜集计算机的系统版本、进程列表和桌面截图等基本信息以及USERPROFILE和APPDATA目录下最近访问过的后缀为doc、docx、xls、xlsx、rtf、pdf、odt、psw和pwd的文档,并发送至C&C服务器。
MontysThree的其他危害
恶意程序的作者在程序中实现了一些不太常见的机制,比如,在感染计算机之后,负责下载的模块解压并解码之前通过隐写术加密的主模块。我们的安全专家认为该隐写术算法并非像大多数情况一样直接复制于开源代码,而是攻击者自己编写的。
恶意程序通过谷歌、微软、Dropbox和WebDav之类的公有云服务和C&C服务器通信,除此之外,通信模块还可以发送RDP和Citrix请求,该恶意程序中并没有任何通信协议的代码,它完全通过合法程序(RDP、Citrix客户端、IE浏览器)来通信。
为了尽可能长时间留在受害者计算机中,恶意程序中的辅助模块修改了Windows快速启动栏中的快捷方式,当用户启动快捷方式(比如浏览器)时,MontysThree加载模块也会被执行。
攻击者们的身份
我们的安全专家并没有发现MontysThree的作者和之前的任何攻击有所关联。目前看来这是一个未曾被发现的网络犯罪组织,代码中的文字显示攻击者的母语是俄罗斯语,他们的主要目标对象也大多是使用俄语的公司,恶意程序搜寻的某些目标目录仅存在于西里尔版本的操作系统中。尽管我们的安全专家在通信服务的账号中发现了某些指向国内的信号,然而这应该是攻击者故意用来混淆视听的手段。
我们在Securelist网站上的文章中有MontysThree的技术细节描述以及感染症状。
防范措施
首先,请再次提醒企业所有员工,这种目标性攻击通常以钓鱼邮件开场,因此员工在打开附件时必须非常小心,尤其是那些本不该发送给他们的文件。
另外,为了抵御高级目标性攻击,请使用具有工作站保护功能、端点检测与响应能力和其他分析反击工具的集成安全解决方案。