北韓駭客釣魚攻擊,TeamT5 提醒防範類似手法

近日俄羅斯網路攻擊事件受到各國關注,企業防駭專家- 杜浦數位安全 TeamT5(以下簡稱 TeamT5)也掌握到與俄羅斯相關的重要網路攻擊事件,判斷應為北韓駭客組織針對俄羅斯外交部進行的釣魚攻擊。駭客利用恭賀新年的主題,寄送釣魚郵件,若使用者開啟並執行郵件附檔,電腦將會被植入後門程式,使駭客可以長期控制使用者電腦,造成重大資安破口。

TeamT5 取得之惡意釣魚電子郵件,顯示駭客假冒成俄羅斯駐塞爾維亞大使館人員,並向其同事祝賀新年,其收件者包含俄羅斯外交部副部長。信件中的附檔經過解壓縮,會得到螢幕保護程式,點擊執行後即出現螢幕保護程式並連線至特定惡意中繼站,進而下載含後門程式的檔案。當後門程式順利運作時,駭客即可連線、控制使用者電腦。

本次攻擊使用的後門程式 scrnsvc.dll 與 TeamT5 的研究情資交叉比對後,持高度信心與北韓駭客組織 Konni 慣用之後門程式家族 Sanny 有關。TeamT5 建議將 IoC 威脅入侵指標匯入企業的資安防禦設備中,避免影響日常營運。

詳情請參考 TeamT5 官網 https://teamt5.org/tw/