<
>

2018年新闻稿

十月19,2018

网络间谍组织使用流行的信使品牌对中亚外交实体进行有针对性的攻击

卡巴斯基实验室的研究人员发现了针对中亚外交组织的一波针对网络间谍的攻击。被称为“八达通”(Octopus)的木马伪装成一种流行且合法的在线Messenger,在该地区可能禁止Telegram Messenger的消息传出后,吸引了用户。安装后,Octopus为攻击者提供了对受害者计算机的远程访问。

威胁参与者一直在寻求可利用的现代趋势,并调整其方法,以危害全球用户的隐私和敏感信息。在这种情况下,可能禁止广泛使用的Telegram Messenger使得威胁行为者可以计划使用Octopus Trojan计划攻击,随后使黑客可以远程访问受害者的计算机。

威胁演员在一个档案中分发了章鱼,该档案伪装成哈萨克反对党的电报信使的替代版本。发射器被伪装成带有该区域反对派政党之一的可识别标志,特洛伊木马被藏在里面。一旦激活,特洛伊木马程序就为恶意软件背后的参与者提供了对受感染计算机上的数据执行各种操作的机会,包括但不限于删除,阻止,修改,复制和下载。因此,攻击者可以监视受害者,窃取敏感数据并获得对系统的后门访问。该计划与臭名昭著的网络间谍活动Zoo Park有一些相似之处,该行动中用于APT的恶意软件模仿了Telegram应用程序来监视受害者。

安全研究人员使用识别软件代码相似性的卡巴斯基算法,发现章鱼可能与DustSquad相关联。DustSquad是俄语的网络间谍演员,此前曾于2014年在中亚的前苏联国家以及阿富汗被发现。两年来,研究人员发现针对自定义Android和Windows恶意软件的四个活动针对私人用户和外交实体。

“我们在2018年看到了许多针对中亚外交实体的威胁参与者。DustSquad在该地区已经工作了几年,并且可能是这种新威胁的幕后黑手。显然,对该地区的网络事务的兴趣正在稳步增长。我们强烈建议该地区的用户和组织密切注意他们的系统,并指示员工这样做。”卡巴斯基实验室安全研究员Denis Legezo说。
为了降低复杂的网络攻击的风险,卡巴斯基实验室建议采取以下措施:

  • 对员工进行数字卫生教育,并说明如何识别和避免潜在的恶意应用程序或文件。例如,员工不应从不受信任或未知来源下载并启动任何应用程序或程序。

  • 使用具有应用程序控制功能的强大终结点安全解决方案,该功能会限制应用程序启动或访问关键系统资源的能力。

  • 实施针对针对性攻击的一套解决方案和技术,例如 卡巴斯基反目标攻击平台 卡巴斯基EDR 。这些可以帮助检测整个网络上的恶意活动,并通过阻止其进度来有效地调查和响应攻击。

  • 确保您的安全团队可以访问专业的威胁情报。