本篇文章1008字,读完约3分钟

近年来,随着数据价值的暴露,非法黑客以政府部门和重要领域为目标开始了apt攻击。 迄今为止,腾讯智能安全御见威胁信息中心一直在暴露高端商务人士、重要人士的精准攻击apt组织darkhotel (黑店)。 最近,该中心再次发现darkhotel (黑店) apt组织与东北亚相关人物和要害部门的apt攻击进行了比较。 目前暂时还没有发现这匹特洛伊木马在国内活动,但腾讯的计算机管家警告广大顾客和相关机构,有必要进行互联网安全相关的防御业务。

【科讯】APT组织开“黑店” 腾讯智慧安全“御界”展开全面防御

darkhotel (黑店) apt组织的攻击目标是入住高端酒店的商人和相关部门的重要人员,攻击入口是酒店wifi互联网,目标群体访问酒店wifi时会受到攻击。 该组织技术力量雄厚,今年新曝光的cve--8174、cve--8373等多次攻击行动中曾使用0day进行攻击。 腾讯智能安全御见威胁信息中心长时间跟踪syscon/sanny后门程序的结果是,该后门一直使用ftp协议进行C通信,有强大的回避技术和uac技术,最新版本的后门多段实

【科讯】APT组织开“黑店” 腾讯智慧安全“御界”展开全面防御

根据解体,在新的攻击活动中,这个组织依然使用最常见的叉子攻击方法,攻击的魅力诱饵有两个,都与东北亚问题有关。 在攻击载体的选择中,这个组织选择以前传达的word文件,通过在word文档中嵌入恶意宏代码来实现攻击。 如果用户为了启用宏而特意将字体变更为非常浅的颜色,则顾客无法阅览,但如果顾客启用宏,则显示为以后容易阅览的黑色。

【科讯】APT组织开“黑店” 腾讯智慧安全“御界”展开全面防御

与以往的攻击相比,这次攻击的代码大部分放在云中,vba脚本中只保存了非常简单的几行代码,云控制的安装过程可以灵活地控制特洛伊木马的传递和感染过程。 另外,cab压缩包文件也存储在两个云中,用bat脚本评估本地系统后,根据需要下载。 另外发现syscon后门和东北亚重要的人攻击的konni后门非常相似。 因为这个腾讯安全技术人员正在评估作为攻击组织的两个后门。

【科讯】APT组织开“黑店” 腾讯智慧安全“御界”展开全面防御

(腾讯智慧安全御界高级威胁检测系统)

对此,腾讯电脑管家安全专家、腾讯安全病毒对策实验室的负责人向客户小心连接公众的wi-fi互联网,进行软件升级等操作,以免打开来源不明的邮件附件 如果必须连接到公众的wi-fi互联网,请不要进行可能泄露机密新闻和隐私新闻的操作,例如邮件、im通信、银行汇款等。 而且,政府和公司客户建议采用腾讯智能安全御界的高级威胁检测系统,通过御界的apt邮件网关处理恶意邮件攻击的威胁,切实保护公司自己的互联网安全。

标题:【科讯】APT组织开“黑店” 腾讯智慧安全“御界”展开全面防御

地址:http://www.miutrip.net.cn/news/2070.html