近期俄羅斯網路攻擊事件為關注焦點,企業防駭專家 TeamT5 也掌握到與俄羅斯相關的重要網路攻擊事件,經研究,應為北韓駭客組織針對俄羅斯外交部進行釣魚攻擊。駭客利用恭賀新年的主題、寄送釣魚郵件,若使用者開啟並執行郵件附檔,電腦將會被植入後門程式,使駭客可以長期控制使用者電腦,造成重大資安破口。
TeamT5 取得之惡意釣魚電子郵件,顯示駭客假冒成俄羅斯駐塞爾維亞大使館人員,並向其同事祝賀新年,其收件者包含俄羅斯外交部副部長。
信件中的附檔經過解壓縮後,會得到螢幕保護程式,點擊執行後將會出現螢幕保護程式並連線至特定惡意中繼站,進而下載含後門程式的檔案。當後門程式順利運作時,駭客即可連線、控制使用者電腦。
本次攻擊使用的後門程式scrnsvc.dll與TeamT5的研究情資交叉比對後,TeamT5認為與北韓駭客組織Konni慣用之後門程式家族Sanny有關。
北韓駭客攻擊行動流程
TeamT5 建議將IoC威脅入侵指標匯入企業的資安防禦設備中,避免影響日常營運。