(“响尾蛇” APT组织攻击形势)
目前,腾讯御界高级威胁检测系统已可检测并阻断该轮攻击的连接行为。腾讯企业安全技术专家提醒广大企业用户,不要随意打开来历不明的文档,推荐使用腾讯御界高级威胁检测系统检测未知威胁,及时阻断此类APT攻击。
“响尾蛇”APT组织又名T-APT-04,疑似来自印度,其最早活跃时间可追溯到2012年,主要针对巴基斯坦等南亚国家的军事目标进行定向攻击。
从本次捕获的最新攻击样本来看,诱饵文档关键字包括“Government of Pakistan Economic Affairs Division”(巴基斯坦政府经济事务部)、“2018 bilateral training programme plan for pakistan in china”(2018巴基斯坦双边培训计划)等,可以推测该轮攻击为针对南亚诸国的定向攻击。
(“响尾蛇” APT组织攻击诱饵文档)
腾讯御见威胁情报中心分析发现,“响尾蛇” APT组织主要通过释放诱饵文档触发CVE-2017-11882漏洞进行传播。漏洞触发后,会释放出cmpbk32.dll和cliconfig32.exe等木马文件并运行,记录中招电脑的键盘记录和鼠标轨迹,造成目标电脑的机密信息泄露。
(“响尾蛇” APT组织攻击流程图)
能够检测并率先阻断“响尾蛇” APT组织攻击的连接行为,关键在于御界高级威胁检测系统,凭借基于行为的防护和智能模型两大核心能力,可高效检测未知威胁,并通过对企业内外网边界处网络流量的分析,及时感知漏洞的利用和攻击。
(御界APT威胁检测系统的日志呈现)
腾讯企业安全技术专家提醒广大企业用户,切勿随意打开来历不明的文档,同时安装安全软件加强防御。建议部署御界高级威胁检测系统,可及时感知恶意流量,检测钓鱼网址和远控服务器地址在企业网络中的访问情况,有效保护企业的网络信息安全。
免责声明:
本站系本网编辑转载,会尽可能注明出处,但不排除无法注明来源的情况,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系, 来信: liujun@soft6.com 我们将在收到邮件后第一时间删除内容!
[声明]本站文章版权归原作者所有,内容为作者个人观点,不代表本网站的观点和对其真实性负责,本站拥有对此声明的最终解释权。