攻击民主党全国委员会(Democratic National Committee)的一群黑客可能有了一个新目标:世界各国的外交部。
周三,安全公司帕洛阿尔托网络说(在新窗口中打开)它将黑客攻击的源头归咎于Fancy Bear,这是一个被广泛认为为俄罗斯政府工作的神秘组织。
该组织也以“Sofacy”为名,因从美国国防部窃取敏感文件而臭名昭著民主党全国委员会和世界反兴奋剂机构然后泄露到网上。最近,花式熊还渗透进了几个德国政府办公室,包括外交部和国防部,根据(在新窗口中打开)德新社报道。
黑客攻击通常是通过网络钓鱼邮件进行的化妆舞会作为合法组织,该组织最近的攻击也不例外。本月,帕洛阿尔托网络公司(Palo Alto Networks)注意到针对两个外交部的攻击,一个位于北美,另一个位于欧洲。
这次攻击依靠的是一封假电子邮件,据称来自知名分析公司IHS Markit旗下的一家国防工业新闻出版商。邮件里有一个Excel文件的附件,里面有即将发生的事件的日历。
这封邮件被做得很有说服力;它成功地欺骗了邮件头的地址为"(电子邮件保护)但实际上,这份文件是用来在受害者的电脑上安装恶意软件的。
它通过附带的Excel文件这样做,其中包含一个危险的软件宏。该宏本质上是激活后将运行的一系列自动操作。在这种情况下,它可以加载恶意软件。
为了诱骗受害者启用宏,攻击者决定用白色字体隐藏Excel文件中的所有文本。打开文件的受害者可能会被愚弄,认为他们必须启用宏才能看到文本。
“一旦成功,攻击者就可以完全控制电脑,复制文件、用户名、密码、账户信息,甚至截图,”这家安全公司在一封电子邮件中说。
帕洛阿尔托网络公司一直在研究这封网络钓鱼邮件,并表示恶意软件使用了该组织以前攻击过的一些代码和域名登陆页面格式。另一家名为Intezer的安全公司也匹配(在新窗口中打开)花式熊的部分恶意软件样本。
帕洛阿尔托网络公司还没有确定这次网络钓鱼攻击的目标是哪些政府,但该公司表示,攻击目标包括欧洲驻莫斯科大使馆。Fancy Bear也一直在试图通过另一种工具集入侵外交部,但目前,帕洛阿尔托网络公司对细节保持沉默。
你的密码是如何被盗的
