全国首起!向企业营销号投放“木马”非法控制计算机信息系统案;
企业号投毒!听说过吗?
就是先通过投放木马程序、骗取企业销售人员信任,然后将企业营销号内的客户引流至境外电诈团伙实施诈骗。来看案例:
2023年4月,杭州市公安局网警分局在工作中发现,多个犯罪团伙在网络平台内利用木马控制程序对企业实施侵害。
经过民警调查,该犯罪团伙是通过线上定向投放木马程序、线下商场骗取企业销售人员信任等方式,获取企业营销号控制权。
最后他们会假冒受害企业员工身份以“拉大群、发红包”方式将其客户引流至境外电诈团伙,为其提供“金粉”(境外诈骗团伙所需高价值人员)”,实施精准诈骗。
投毒方式有两种,一种是线上定向投放木马程序:
来自湖北的张某,平时无所事事。今年3月,他在国外社交软件上看到有人公开招聘投放木马病毒的人员。门槛低,工资可观。
只要在企业官网联系工作人员,假装谈业务,把带有木马病毒的文件发送过去,就算是完成一大半了。如果企业工作人员打开了这个文件,那么木马病毒就可以入侵该企业,张某就能获得佣金。
张某毫不犹豫就开干,没想到一个星期就赚了十万块钱。他立马把这个赚钱的法子告诉亲朋好友,于是三四个人组建了一个小团队,专门搞这事。
另外一种方式是线下商场伺机登录企业营销号:
张某是安徽临泉县人,该团伙地推人员之一,今年27岁。他本身是个无业游民,长年在网吧等地混迹。
去年三月,他报名参加这个团伙的“买卖”,另组成一个四人小队,两两分组行动。一个负责推销,另一个人趁着柜员注意力被分散,用他的手机扫描二维码,让后台登上这个员工的企业营销号。
只要达成这一步,他们的工作就算完成。
几个月时间,他们四人小团伙,全国各大商场都跑了一遍,先是从江苏到浙江,再去广东、重庆、陕西、湖北。
工资也从800元/账户、1000元/账户,涨到一万元一天且没有账户考核。最多的时候,他们一个月赚了80万元。
在他们还做着赚大钱的美梦时,没想到自己已经被警方盯上了。
在摸清掌握该团伙的犯罪手法和链条后,近期,在部网安局和省厅网安总队指导下,网警分局会同萧山、临平、钱塘、上城分局前往湖南、河北、河南、广东、安徽五省开展集中收网行动,抓获7个团伙共39名犯罪嫌疑人,其中35人因涉嫌非法控制计算机信息系统罪,被依法采取刑事拘留强制措施。
全国涉案企业达2500余家,涵盖证券投资、医疗保险、科技教育等多个行业领域。目前,案件还在进一步侦办中。
这起案子是全国范围内破获的首起向企业营销号投放“木马”非法控制计算机信息系统案。据监测,案件收网后,从事此类黑灰产团伙“投放木马量”及成功率均大幅下降,消除了企业面临的网络与数据安全风险。
接下来,杭州市公安局将指导在杭企业开展木马清理排查,及时消除涉企风险隐患,筑牢企业数据安全“防火墙”。并将依托全市网络安全通报机制开展风险预警通报,帮助企业全面提升网络安全防护意识和有效防侵害能力。
1、不要轻易打开陌生人发送的文件,重点留意.exe/.zip/.rar/.bat格式的文件。
2、建议安装专业的病毒/木马防护软件,并定期查杀。
3、如不慎打开可疑文件,建议立即退出聊天软件,并进行全面杀毒处理。
4、如企业发现被木马程序控制或者数据失窃,及时报警并积极配合警方开展调查取证。
帕洛阿尔托网络42号部门研究人员一项新研究观察到,一个俄罗斯国家级附属网络团伙利用合法出售宝马汽车的借口,将乌克兰基辅的外交官作为目标,发起攻击。
这场新颖的网络钓鱼活动是由“隐身熊”组织(又名Cozy Bear,APT29)进行的,美国和英国已公开将其归咎于俄罗斯对外情报局(SVR)。研究人员称,这场运动针对的是基辅80多个外国大使馆中的至少22个,这是一个“令人惊讶”的数字。
这场运动是通过波兰外交部一名外交官发给各大使馆的合法电子邮件传单开始的。这则邮件介绍了一辆位于基辅的二手宝马5系轿车的销售情况,文件附件标题为“在基辅出售的宝马5-2023.docx”。研究人员指出,鉴于在当前环境下很多货物难以通过运输进入乌克兰,如果一位值得信赖的外交官提供可靠的汽车,就将吸引这一地区人们的兴趣。
Cloaked Ursa很可能是在破坏了电子邮件收件人的一个电子邮件服务器后,观察到了合法传单,并以传单作为网络钓鱼诱饵,获得机会。2023年5月4日,该团伙使用相同名称的善意微软Microsoft Word文档,通过电子邮件将他们的非法传单发送给基辅各地的多个外交使团。
如果收件人点击提供“更多高质量照片”的链接,他们将被定向到由Cloaked Ursa选择的合法网站。当受害者尝试查看照片时,恶意负载将在后台静默执行,同时图像会显示在屏幕上。
该组织使用公开的大使馆电子邮件地址实现了约80%的目标,剩下的20%由在表面网络上未公开的电子邮件地址组成。大多数邮件被发送到大使馆的普通收件箱,但也有少数直接发送到个人的工作邮箱。
没有信息表明这场运动在感染目标外交官方面取得了多大成功。然而,研究人员表示,目标大使馆的数量“对于范围狭窄的APT秘密行动来说,实在惊人”。
帕洛阿尔托对Cloaked Ursa进行该活动的的评估基于以下因素:
▶与其他已知的隐形大熊座战役和目标的相似之处
▶使用已知的隐形大熊座 TTP
▶代码与其他已知的隐形 Ursa 恶意软件重叠
此次行动表明,外交使团是俄罗斯政府获取乌克兰及其盟友情报的高价值间谍目标。研究人员在博客写道:“外交官们应该意识到,APT不断修改其方法,包括通过鱼叉式网络钓鱼来提高其有效性,他们将抓住一切机会引诱受害者妥协。乌克兰及其盟友需要对网络间谍的威胁保持格外警惕,以确保其信息的安全和保密。”
与此同时,本周早些时候(7月10日),黑莓公司的研究发现,就在备受期待的北约峰会前几天,RomCom的黑客也发起了一场针对支持乌克兰的组织和个人的网络活动。
精彩推荐
乘风破浪|华盟信安线下·web渗透夏令营暨网络安全就业班招生中!
web渗透入门基础篇|充电
重磅|2023华盟HW工程师招募
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...