近期,世界网络安全安排宣布正告:南美洲长时间活泼的黑客安排“Blind Eagle”(又称“AguilaCiega”或APT-C-36)正运用俄罗斯的“子弹头”保管服务Proton66,对哥伦比亚等国的金融安排主张新一轮网络垂钓进犯。此次进犯不只技能办法荫蔽,更暴露出匿名保管渠道正成为网络违法“温床”的严峻实际。
依据网络安全公司Trustwave SpiderLabs发布的最新陈述,研究人员经过追寻Proton66相关的IP地址和域名,成功确定该安排的进犯基础设施。进犯者运用动态DNS服务(如DuckDNS)创立多个子域名,悉数指向同一Proton66保管的IP地址(45.135.232[.]38),以此躲避传统封禁手法,提高进犯持久性。
“他们用的技能看似‘老派’,但很有用。”公共互联网反网络垂钓工作组技能专家芦笛在承受媒体采访时表明,“这次进犯的中心是Visual Basic (VBS)脚本。尽管VBS是Windows体系里一个很老的组件,但它默许自带、无需额定装置,还能在后台静默运转,很适合做‘榜首脚’——也便是初始侵略。”
进犯流程一般以一封看似来自银行的邮件为初步。邮件中顺便一个看似正常的Office文档或PDF文件,诱导用户启用宏或点击链接。一旦用户中招,歹意VBS脚本便会主动下载并履行第二阶段载荷——一般是揭露可用的长途拜访木马(RAT),如AsyncRAT或Remcos RAT。
“这些RAT功用强大,能长途操控电脑、盗取文件、记载键盘输入,乃至敞开摄像头。”芦笛解释道,“更费事的是,进犯者还运用了名为Vbs-Crypter的加密东西对脚本进行混杂,让许多传统杀毒软件‘看走眼’,误以为是正常文件。”
此次进犯主要是针对哥伦比亚多家大型银行,包含Bancolombia、BBVA、Banco Caja Social和Davivienda等。假造的垂钓页面与实在银行网站高度相似,普通用户极难分辩,一旦输入账号密码,信息便直接落入黑客手中。
芦笛指出,Proton66这类“子弹头”主机服务(Bulletproof Hosting)是此类进犯得以长时间存在的要害。“这类服务商一般坐落监管宽松的区域,成心无视安全安排的下架请求和法令诉讼。只需付钱,他们就乐意保管任何内容,包含歹意网站、指令与操控服务器等。这相当于给黑客供给了‘避风港’。”
面临日益杂乱的垂钓进犯,芦笛主张企业和个人采纳多层次防护战略:“首要,封闭Office宏功用,除非肯定必要。其次,及时来更新体系和软件补丁,别给缝隙待机而动。第三,布置具有行为查验测验才能的安全软件,不能只依靠‘是非名单’。终究,也是最要害的——加强职工安全意识训练。90%的垂钓进犯,终究都是靠‘人’点进去的。”
他还提示,用户在拜访银行等灵敏网站时,应手动输入网址或运用书签,防止经过邮件链接跳转。一起,启用两层身份验证(MFA)能大幅度下降账户被盗危险。
现在,Trustwave已向相关安排提交了进犯目标(IOCs),并发现进犯者还搭建了相似“操控面板”的体系,可会集办理被感染设备,构成小型僵尸网络。
跟着网络违法技能不断“平民化”,专家呼吁世界社会加强对匿名保管服务的监管,一起推进跨安排协作,一起应对这一全球性应战。关于拉美区域而言,这场与“盲鹰”的比赛,远未完毕。
