「佛地魔」惡意程式假冒全球各地稅務機關發動攻擊

2024 / 09 / 03

編輯部

全球性惡意攻擊軟體「佛地魔」假冒包括歐洲、亞洲和美國在內的各大稅務機構。自8月5日以來，這一攻擊行動已影響全球數十個組織，累計發送超過 20,000封釣魚郵件。

「佛地魔」惡意軟體是一種以C語言編寫的自定義後門，專為資料竊取和惡意負載而設計，並使用 Google 表單執行指揮控制（C2）系統。該軟體夾帶惡意的 Windows 搜索協議文件，一旦受害者下載，會利用合法版本的 Webex軟體載入 DLL 與 C2 伺服器通信。

偽裝成稅務機關的「佛地魔」

研究人員指出，攻擊活動在 8月 17日特別活躍，當天發送了近 6,000 封冒充稅務機關的網釣郵件。被冒用的機構包括美國國稅局 (IRS)、英國的稅務海關總署 (HM Revenue & Customs) 和法國的公共財政總局 (Direction Générale des Finances Publiques)，且使用當地語言撰寫以增加可信度。

為了增加真實度，這些郵件不僅來自於疑似被入侵的域名，還使用了稅務機構的合法域名。

目前該惡意攻擊的具體目標仍不明確，但由於「佛地魔」具備強大的情報收集能力和惡意負載執行潛力，研究人員推測這可能是間諜活動。

更容易遭此「索命咒」攻擊的 Google 用戶

使用 Google 平台的企業更容易成為佛地魔軟體攻擊的目標，因為 Google 相關平台通常被列入安全名單。如果企業不監控特定的入侵流量指標，則很難察覺該軟體的大部分攻擊。

這種攻擊技術已被 MITRE ATT&CK 框架標註（T1567.002），而專家建議企業應密切監控大量非瀏覽器的雲端連線活動，建立明確的程序來處理（尤其是財務相關的）敏感請求或通知，並透過可信渠道進行驗證。此外，應加強員工對假冒攻擊的教育訓練，以提高防範意識。

資安防護最佳實踐策略

企業可以通過強化電子郵件過濾系統，並加強員工對於辨識可疑郵件的訓練，來保護組織免受客製化釣魚攻擊的危害。

資安專家更建議採用多因素身份驗證（MFA），定期更新並審核公開資訊的可見性以降低暴露風險。企業應採用先進的端點偵測與回應工具，實施嚴格的網路分段，定期進行安全更新，監控異常行為，並執行有效的資料加密措施來保護敏感資訊。

此外，執行 DMARC、SPF 和 DKIM 等電子郵件身份驗證協議，並使用 S/MIME 認證來確保組織內部郵件發件人的真實性，更有助於防範偽裝攻擊。

本文轉載自 DarkReading。

佛地魔惡意軟體資料竊取惡意負載