近日,据腾讯安全反病毒实验室安全大数据监测发现,国外APT组织“MuddyWater(污水)”再度活跃,利用Powershell作为后门程序发起新一轮网络攻击。
“MuddyWater”组织,又称T-APT-14,多以从事间谍活动为目的,受害者主要分布在巴基斯坦、沙特阿拉伯、阿联酋和伊拉克等国家。据腾讯安全反病毒实验室分析发现,该APT组织显著的攻击行为特点为善于利用Powershell等脚本后门,通过Powershell在内存中执行,减少新的PE文件在受害者机器落地。这种方式使得该组织的样本有着较低的检测率,另一方面也加大了安全机构的取证难度。
据悉,该组织自2017年11月被曝光以来,不但没有停止攻击,反而更加积极地改进攻击武器,在土耳其等国家持续活跃,主要攻击目标集中在政府、金融、能源、电信等行业用户。
目前该攻击虽然尚未在国内地区发现,但用户同样不可放松警惕。腾讯御界高级威胁检测系统已可以检测并阻断该轮攻击行为,在此提醒广大政府、企业用户,切勿随意打开来历不明的邮件附件,同时可安装腾讯电脑管家等安全软件防御此类攻击。
(图:“MuddyWater”组织近期攻击活动)
通过进一步分析该组织近期的几次攻击活动,腾讯安全反病毒实验室发现,目前该APT组织已有成熟的js、Powershell后门程序和完整的混淆反查杀流程。此外,该APT组织正积极探索非PE文件后门,或意图发起更大规模的网络攻击。
为更好地对抗不法分子的攻击,腾讯企业安全基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出独特的威胁情报和恶意检测模型系统——腾讯御界高级威胁检测系统。凭借基于行为的防护和智能模型两大核心能力,御界高级威胁检测系统可高效检测未知威胁,并通过对企业内外网边界处网络流量的分析,感知漏洞的利用和攻击。通过部署御界高级威胁检测系统,可及时感知恶意流量,检测钓鱼网址和远控服务器地址在企业网络中的访问情况,保护企业网络安全。
(图:腾讯御界高级威胁检测系统)
此外,腾讯安全反病毒实验室负责人,腾讯电脑管家安全专家马劲松建议各企业用户,提高安全防范意识,不要随意开启来历不明邮件的附件;关闭文档的宏功能;对于不使用Powershell功能的企业,建议禁用Powershell。同时,使用腾讯企业安全御界高级威胁检测系统,可有效防御此类攻击。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。