卡巴斯基实验室最近发现一种被称为Grabit的针对企业的最新网络间谍攻击行动。攻击造成大量中小型企业约10,000份文件被盗,这些企业主要位于泰国、印度和美国。受攻击的行业包括化工行业、纳米技术行业、教育业、农业、媒体以及建筑业等。其他受影响的国家还包括阿拉伯联合酋长国、德国、以色列、加拿大、法国、奥地利、斯里兰卡、智利和比利时。
据了解,此番感染是通过电子邮件附件进行。通常,企业或组织中的员工会收到一封包含附件的邮件,附件看似为Office Word(.doc)文档。用户点击下载附件后,间谍程序会从远程服务器下载到用户计算机。而远程服务器则被攻击组织攻破,并用于充当恶意软件节点。攻击者使用HawkeyeProducts公司出品的一款商业间谍工具——HawkEye键盘记录器和一个包含大量远程管理工具(RAT)的配置模块控制受害者。
至于此次攻击的规模,卡巴斯基实验室的研究表明,仅需命令和控制服务器中的一个键盘记录器,就可以从4928台不同的内部和外部主机中窃取2887个密码、1053封电子邮件和3023个用户名信息,包括Outlook、Facebook、 Skype、Google mail、Pinterest、Yahoo、LinkedIn和Twitter等服务以及银行账户和其他账号。
除了上述特征外,Grabit网络间谍行动还表现出其他特殊之处。一方面,Grabit 幕后的攻击者并未专门隐藏自己的行为。有些恶意样本使用了同样的主机服务器,甚至同样的登陆凭证,造成自身安全隐患。另一方面,攻击者还使用了缓解方法,确保其代码不被分析专家发现。根据这些迹象,卡巴斯基实验室认为这一间谍攻击行动幕后的攻击者是一个不固定的攻击组织。其中一些成员技术更为精湛,并且会注意保护自身不被其他人追踪。安全专家分析认为,这些恶意软件并非由其编写者独立完成。
卡巴斯基实验室全球研究和分析团队资深安全研究员Ido Noar对此表示:“我们发现过很多针对大型企业、阅批机构和其他重要机构的间谍攻击,但是针对中小型企业的攻击却很少见。但是,Grabit的发现表明并不是只有‘大鱼’才会成为攻击目标。在网络世界中,每个组织都可能成为恶意攻击者的潜在攻击目标,不管其是拥有资金、信息或是政治影响。目前 Grabit攻击仍在继续,所以请检查你所在组织的网络,确保自身安全。5月15日,我们发现了一款简单的Grabit键盘记录器,用于维护从数千台受感染系统上窃取到的数千个被盗账户登录信息。这一威胁不可低估。”
那么,广大企业用户究竟如何才能确保自身网络安全,远离Grabit威胁?卡巴斯基实验室建议用户采取以下措施:
1. 请检查计算机上以下位置 C:\Users\<计算机名称>\AppData\Roaming\Microsoft,如果其中包含可执行文件,那该计算机可能已经被恶意软件感染。请不要忽视这一警告。
2. Windows系统配置中的启动列表中不应当包含grabit1.exe。请运行“msconfig ”,确保启动项中不包含grabit1.exe记录。
3. 不要打开来自不认识的人发送的邮件附件或链接。如果你不能打开附件,不要将其转发给他人,而是要寻求IT管理员的帮助。
4. 使用高级以及最新的反恶意软件解决方案,遇到可疑进程,一定要按照反病毒解决方案的建议进行操作。卡巴斯基实验室企业级产品已经能够检测所有已知的Grabit样本,帮助用户抵御这一威胁。