一项神秘的新的网络钓鱼活动正在针对全球政府部门和相关业务服务进行网络攻击,旨在从受害者那里窃取登录凭据。
总体而言,网络钓鱼攻击已针对美国,加拿大,中国,澳大利亚,瑞典等国家中的至少22个潜在的受害者组织。所有这些攻击都涉及声称与目标政府机构有关的电子邮件,它们都试图诱骗受害者单击电子邮件链接,要求其用户名和密码。
任何将其登录凭据输入到欺骗性政府机构网站的人都将使网络罪犯能够访问其帐户。
该活动已由Anomali的网络安全研究人员发现并进行了详细说明;但是尽管研究人员称其为“持续性”运动很明显,但仍有很多工作要做,但尚不清楚攻击背后是谁还是其最终动机是什么,这可能是进行公司间谍活动的一种努力。
Anomali网络威胁情报分析师Sara Moore说:“可能是对手试图与潜在竞标者接触,以削弱竞争或损害政府供应商的长期利益。”
大多数攻击针对政府部门本身,但一小部分攻击也针对与目标有关的采购和物流公司。
发生这些攻击最多的国家是美国,其中有美国能源部,美国商务部,美国退伍军人事务部。
攻击者一直在谨慎地使用包含诱饵文件的网络钓鱼电子邮件,诱骗每个目标的独特诱饵,诱饵文件据称与部门的招标和采购活动有关。在每种情况下,网络钓鱼电子邮件均以目标部门所在国家/地区的母语编写。
例如,针对美国商务部的网络钓鱼电子邮件声称包含与商业产品和服务竞标有关的信息,并鼓励目标用户打开诱饵文件。该文档包含一个嵌入式链接,鼓励目标用户单击该链接–正是该链接导致了一个钓鱼网站。
像电子邮件和文档诱饵一样,网络钓鱼网站的设计看起来像是目标代理商或公司所使用的真实网站。这些网站使用目标使用的合法名称,信息和文件,以使其看起来更加真实并避免用户怀疑。
尽管不知道是哪种欺骗性网站和相关的网络钓鱼活动背后的网络犯罪活动,但域名托管在土耳其和罗马尼亚。但是,尽管并没有透露谁可能成为攻击的幕后黑手,因为攻击者可以在世界上任何一个县建立网络钓鱼站点,并且可以使用任何国家来托管这些域。在Anomali的调查过程中,总共发现了62个域和122个网络钓鱼网站。
请参阅: 如何发现网络钓鱼电子邮件 [CNET]
研究人员已经通知了相关的CERT(计算机紧急响应小组),向他们通报了有关攻击的信息-尽管目前尚不清楚攻击者是否设法消除了所有被盗的凭据。
但是,各行各业的组织可以做些事情,以保护自己免受此运动或任何其他网络钓鱼攻击的侵害。
“组织应确保能够访问威胁情报和研究,以提供有关这些类型攻击的详细信息。它们应具有将情报和研究整合到其安全基础结构中的能力,以实现检测,阻止和响应。”摩尔(Moore)说道。
她补充说:“向员工传授如何发现和报告可疑的网络钓鱼电子邮件的安全意识培训也至关重要。”
有关该运动的《异常研究》详细介绍了已知目标的完整列表以及“妥协指标” 。
*编译整理:Domino
*参考来源:ZDNET