駭客假冒政府機關製造受害者恐慌,讓他們亂了陣腳而乖乖照做的情況相當常見,近期有鎖定特定行業員工而來的攻擊行動,就是典型的例子。
資安業者Zscaler揭露匿稱為AguilaCiega、BlindEagle、APT-Q-98的駭客組織APT-C-36攻擊行動,駭客約從今年6月開始,鎖定哥倫比亞保險業的員工從事網路釣魚攻擊,過程裡駭客冒充當地稅務機關,意圖散布RAT木馬程式BlotchyQuasar。
這些釣魚郵件通常會挾帶PDF附件,駭客在郵件內文及PDF附檔裡面都寫入指向ZIP檔案的URL,一旦收信人點選,就會從Google Drive下載ZIP檔,該壓縮檔的內容就是BlotchyQuasar。值得留意的是,掌管這個Google帳號的用戶是哥倫比亞的地方政府機關,駭客很可能取得外流帳密資料而得,這樣的情況使得收信人很容易降低警覺,以為資料來自政府單位而照做。
附帶一提的是,為了避免ZIP檔遭到資安系統攔截,這些駭客也將這些壓縮檔加上密碼保護。
在其中一封釣魚信裡,駭客冒充哥倫比亞國家稅務和海關管理局(Dirección de Impuestos y Aduanas Nacionales,DIAN),聲稱收信人因尚未繳稅已收到扣押令,意圖製造恐慌。
而對於釣魚信的來源,研究人員指出駭客很有可能透過自己的基礎設施發送,但這些信件的連網來源,則透過VPN服務Powerhouse Management隱匿。
研究人員對於惡意程式進行分析,研究人員分析BlotchyQuasar之後,認為這支惡意程式源於QuasarRAT,能夠側錄使用者鍵盤輸入的內容、執行Shell命令,以及竊取帳密資料的功能。值得留意的是,這個惡意程式可讓駭客監控受害者特定銀行交易或是支付服務,目標涵蓋哥倫比亞和厄瓜多爾近20家銀行。
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-15
2024-11-15
2024-11-19