研究人员发现长期网络间谍活动

安全研究人员最近公布了有关针对全球燃料行业公司的长期网络间谍活动的信息。该活动的重点是长期检测避免和在受害网络上植入远程访问木马，目的是持久的数据泄露和间谍活动。

安全公司 Intezer 的研究人员透露，不法分子一直在使用针对性极强的鱼叉式网络钓鱼电子邮件活动，这些活动将远程访问木马负载作为恶意附件。活动中使用的 RAT 恶意软件范围千差万别，包括臭名昭著的名称，例如特工 Tesla、Loki 和 AZORult。这些工具既能够窃取敏感信息和浏览器登录信息，也能够记录击键。

该活动几乎完全专注于石油和天然气公司，但也有一些 IT 和媒体行业的有针对性的异常值。奇怪的是，大多数目标公司都位于韩国，其他目标公司位于全球各地，包括欧洲和美国，以及阿拉伯联合酋长国。

研究人员还指出，恶意活动中的一个目标与其他目标明显不同。奇怪的是 FEBC 是一家位于韩国的无线电广播实体，据 Intezer 的研究人员称，该实体旨在“颠覆该国北部邻国的宗教禁令”。

鱼叉式网络钓鱼电子邮件使用欺骗性的发件人字段，并且看起来好像它们确实来自受害者熟悉的地址和公司。一些电子邮件使用了域名抢注 - 一个域名与合法域名不同的单个字符，例如用破折号替换的点或用 1 替换的“L”。

恶意电子邮件的正文通常包含看似合法的商业报价。有效载荷包含在真正是 .cab 档案或 .iso 图像的虚假 PDF 文件中。 Intezer 还指出，payload 是使用无文件技术部署的，直接部署到系统内存中，不会在硬盘上留下任何可能会破坏潜在防御的文件。

Intezer 还指出，电子邮件在格式方面做得特别好，并且非常小心地使它们看起来像合法的商业信函。这些电子邮件的文本中有许多小细节，表明这背后的威胁行为者不是业余爱好者，并且非常了解合法的、引人注目的商业通信是什么样的。