卡巴斯基發現Grabit針對泰國、印度和美國中小型企業進行攻擊的網路間諜行動

2015-05-28 卡巴斯基實驗室最近發現一種最新的被稱為Grabit的針對企業的網路間諜攻擊行動。攻擊造成大量中小型企業約10,000份檔被盜,這些企業主要位於泰國、印度和美國。受攻擊的行業包括化工行業、奈米技術業、教育業、農業、媒體以及建築業等。 其他受影響的國家還包括阿拉伯聯合酋長國、德國、以色列、加拿大、法國、奧地利、斯里蘭卡、智利和比利時。 全球研究和分析團隊資深安全研究員Ido Noar說:「我們發現過很多針對大型企業、政府機構和其他重要機構的間諜攻擊,但是針對中小型企業的攻擊卻很少見。但是,Grabit的發現表明並不是只有“大魚”才會成為攻擊目標,在網路世界中,每個組織,不管其是擁有資金、資訊或是政治影響,都可能成為惡意攻擊者的潛在攻擊目標。目前Grabit攻擊仍在繼續,請檢查你所在組織的網路,確保自身安全。5月15日,我們發現了一款簡單的Grabit鍵盤記錄器,用於維護從數千台受感染系統上竊取到的數千個被盜帳戶登錄訊息。這一威脅不可低估。」 感染是透過電子郵件附件進行的。通常,企業或組織中的員工會收到一封包含附件的郵件,附件看起來似乎是Office Word檔案。使用者點擊下載附件後,間諜程式會從遠端伺服器下載到使用者電腦。而遠端伺服器則是被攻擊組織所攻破,並用於充當惡意軟體節點。攻擊者使用HawkeyeProducts公司出品的一款商業間諜工具——HawkEye鍵盤記錄器和一個包含大量遠端系統管理工具(RAT)的配置模組控制受害者。 為說明這次攻擊的規模,卡巴斯基表示,僅需一個在命令和控制伺服器中的鍵盤記錄器,就可以從4928台不同的內部和外部主機中竊取2887個密碼、1053封電子郵件和3023個用戶名資訊,包括Outlook、Facebook、Skype、Google mail、Pinterest、Yahoo、LinkedIn和Twitter等服務以及銀行帳戶和其他帳號。 一個不固定的網路犯罪組織 一方面,Grabit幕後的攻擊者沒有專門隱藏自己的行為。有些惡意樣本使用了同樣的主機伺服器,甚至同樣的登入憑證,造成自身安全隱憂。另一方面,攻擊者還使用了緩解方法,確保其代碼不被分析專家發現。根據這些跡象,卡巴斯基認為這一間諜攻擊行動幕後的攻擊者是一個不固定的攻擊組織。其中一些成員技術更為精湛,並且會注意保護自身不被其他人追蹤。安全專家分析認為,這些惡意軟體的編寫者應該不是自己從頭編寫的。 要抵禦Grabit威脅,卡巴斯基實驗室建議用戶採取以下措施:
  • 請檢查電腦上以下位置 C:\Users\<電腦名稱>\AppData\Roaming\Microsoft,如果其中包含可執行檔,那該電腦可能已經被惡意軟體感染。請不要忽視這一警告。
  • Windows系統組態中的啟動列表中不應該包含grabit1.exe。請運行“msconfig ”,確保啟動項中不包含grabit1.exe記錄。
  • 不要打開來自不認識的人發送的郵件附件或連結。如果你不能打開附件,不要將其轉發給他人,而是要尋求IT管理員的幫助。
  • 使用高級以及最新的防毒軟體解決方案,遇到可疑進程,一定要按照防毒解決方案的建議進行操作。
卡巴斯基實驗室產品已經能夠檢測所有已知的Grabit樣本,説明用於抵禦這一威脅。 要瞭解更多關於“Grabit ”攻擊行動詳情,請瀏覽Securelist.com 資安知識不可少,小心謹慎保荷包!掌握個人資訊安全,湛揚科技將與您同步關心。 來源:卡巴斯基官網 原文網址:http://www.kaspersky.com/about/news/virus/2015/Kaspersky-Lab-discovers-Grabit-A-Cyber-spy-Tracking-SMBs-in-Thailand-India-and-the-US 原文標題:Kaspersky Lab discovers Grabit: A Cyber-spy Tracking SMBs in Thailand, India and the US