研究人員發現長期網絡間諜活動

安全研究人員最近公佈了有關針對全球燃料行業公司的長期網絡間諜活動的信息。該活動的重點是長期檢測避免和在受害網絡上植入遠程訪問木馬，目的是持久的數據洩露和間諜活動。

安全公司 Intezer 的研究人員透露，不法分子一直在使用針對性極強的魚叉式網絡釣魚電子郵件活動，這些活動將遠程訪問木馬負載作為惡意附件。活動中使用的 RAT 惡意軟件範圍千差萬別，包括臭名昭著的名稱，例如特工 Tesla、Loki 和 AZORult。這些工具既能夠竊取敏感信息和瀏覽器登錄信息，也能夠記錄擊鍵。

該活動幾乎完全專注於石油和天然氣公司，但也有一些 IT 和媒體行業的有針對性的異常值。奇怪的是，大多數目標公司都位於韓國，其他目標公司位於全球各地，包括歐洲和美國，以及阿拉伯聯合酋長國。

研究人員還指出，惡意活動中的一個目標與其他目標明顯不同。奇怪的是 FEBC 是一家位於韓國的無線電廣播實體，據 Intezer 的研究人員稱，該實體旨在“顛覆該國北部鄰國的宗教禁令”。

魚叉式網絡釣魚電子郵件使用欺騙性的發件人字段，並且看起來好像它們確實來自受害者熟悉的地址和公司。一些電子郵件使用了域名搶注 - 一個域名與合法域名不同的單個字符，例如用破折號替換的點或用 1 替換的“L”。

惡意電子郵件的正文通常包含看似合法的商業報價。有效載荷包含在真正是 .cab 檔案或 .iso 圖像的虛假 PDF 文件中。 Intezer 還指出，payload 是使用無文件技術部署的，直接部署到系統內存中，不會在硬盤上留下任何可能會破壞潛在防禦的文件。

Intezer 還指出，電子郵件在格式方面做得特別好，並且非常小心地使它們看起來像合法的商業信函。這些電子郵件的文本中有許多小細節，表明這背後的威脅行為者不是業餘愛好者，並且非常了解合法的、引人注目的商業通信是什麼樣的。