今年繼Dark Basin黑客雇傭組織曝光后，卡巴斯基發(fā)現(xiàn)第二個(gè)黑客雇傭組織Deceptikons。

俄羅斯網(wǎng)絡(luò)安全公司卡巴斯基在一場網(wǎng)絡(luò)研討會(huì)中表示，發(fā)現(xiàn)了一個(gè)新的黑客雇傭組織，該組織已經(jīng)活躍了近十年。

據(jù)卡巴斯基惡意軟件分析師Vicente Diaz透露，卡巴斯基將這個(gè)組織命名為“Deceptikons”，其針對行業(yè)主要四律師事務(wù)所、金融科技公司開展攻擊，竊取企業(yè)的機(jī)密數(shù)據(jù)，主要分布在歐洲，偶爾出現(xiàn)在中東國家，比如以色列、約旦和埃及。

該組織最近一次攻擊是在2019年的一次魚叉式網(wǎng)絡(luò)釣魚活動(dòng)，一系列歐洲律師事務(wù)所中招，在這場活動(dòng)中，該組織在目標(biāo)企業(yè)主機(jī)中部署了惡意PowerShell腳本。

尚未利用0day漏洞

俄羅斯安全企業(yè)在網(wǎng)絡(luò)研討會(huì)中的一份書面報(bào)告中提及，“該租住在攻擊技術(shù)上的發(fā)展目前還不成熟，就我們所了解到的尚未利用0day開展攻擊。”

就該黑客組織的基礎(chǔ)設(shè)施和惡意軟件而言，“巧妙但不算先進(jìn)”，對感染主機(jī)最大的優(yōu)勢在于持久性。

觀察其大多數(shù)攻擊事件可以發(fā)現(xiàn)它們具有相似的模式，始于魚叉式網(wǎng)絡(luò)釣魚郵件，郵件攜帶更改過的惡意LINK(快捷)文件。

如果受害者下載或和郵件互動(dòng)(比如點(diǎn)擊它)，這個(gè)快捷文件就會(huì)自動(dòng)下載并運(yùn)行PowerShell后門木馬。

卡巴斯基在接下來的幾周時(shí)間內(nèi)將會(huì)就該組織的活動(dòng)公布一些更全面的攻擊技術(shù)報(bào)告。

今年第二個(gè)黑客雇傭軍團(tuán)

Deceptikons是今年繼Dark Basin APT組織之后發(fā)現(xiàn)的第二個(gè)黑客雇傭軍團(tuán)?？ò退够壳皶簳r(shí)尚未發(fā)現(xiàn)該組織受命于哪家實(shí)體企業(yè)。

今年發(fā)現(xiàn)的第一個(gè)黑客雇傭軍團(tuán)Dark Basin攻擊對象主要是記者、右翼團(tuán)體、政府官員、金融機(jī)構(gòu)等，幕后指示者似乎是一家來自印度的科技公司。

Dark Basin是一個(gè)雇傭黑客組織，目標(biāo)是六大洲的數(shù)千名個(gè)人(如高級政客、政府檢察官、企業(yè) CEO、新聞工作者和人權(quán)維護(hù)者)和數(shù)百家機(jī)構(gòu)，包括非營利組織和對沖基金等行業(yè)，Citizen Lab 也將其定位為網(wǎng)絡(luò)釣魚幕后組織。

這家名為BellTroX的印度信息科技服務(wù)企業(yè)，7 年內(nèi)監(jiān)視了超過 1 萬個(gè)電子郵件帳戶，多國政要、行業(yè)大亨、社會(huì)團(tuán)體和知名機(jī)構(gòu)都成為其攻擊對象。該組織在被曝光之后，這場監(jiān)視活動(dòng)也被稱為是有史以來最大的雇傭間諜活動(dòng)之一。