极速三分快3平台朝鲜黑客的老巢竟藏在泰国大学中?McAfee 扒了一波作案细节 | 雷锋网

  • 时间:
  • 浏览:0
  • 来源:彩神快三网站

朝鲜黑客经常是世界各大安全公司的重点研究目标极速三分快3平台,2017年4月底,赛门铁克就曾发布过有5个 报告,认为朝鲜网络攻击集团对世界多国银行发动了攻击,并预测其窃取资金超过一千亿韩元(折合人民币6.13亿元)。

同時 ,还列出证据表明,朝鲜网络攻击的目标包括孟加拉国、越南、厄瓜多尔、波兰等国银行,目前原应从那此国家的银行盗窃了最少 960 万美元。

一年已经 ,雷锋网(公众号:雷锋网)发现,又一知名安全公司迈克菲(McAfee)也同样在4月底发布报告,再次挖到了朝鲜黑客的不少黑料。McAfee 高级威胁研究团队指出,经过长期的跟踪研究,一项名为 Operation GhostSecret 的大型黑客活动疑似与朝鲜政府支持的黑客组织 Lazarus 有关,原应攻击极速三分快3平台中使用了与极速三分快3平台该组织有关的各种工具和恶意守护线程。

 Lazarus 你是也有听着一点耳熟?对,已经 那个曾对索尼影业公司进行摧毁性攻击、从孟加拉央行盗取860 万美元、被认为是 WannaCry 的重要幕后黑手的黑客团伙 Lazarus 。

研究人员最初以为, Operation GhostSecret 已经 3 月初处于在几次土耳其金融机构和政府组织的大规模网络攻击,但 McAfee 的报告显示,五种攻击实际上波及了 17 个国家。背后攻击者瞄准关键基础设施、娱乐、金融、医疗保健和电信等多个行业,窃取业内敏感数据,目前依旧活跃。

五种判断从也有空穴来风的推测,已经 有了实锤,五种实锤已经 找到了黑客所用的服务器的藏身之地!

据外媒 SecurityAffairs 的消息,泰国当局在 ThaiCERT(最少泰国的国家互联网应急响应中心)与迈克菲(McAfee)的协助下,找到了朝鲜 APT 组织 Hidden Cobra 使用的服务器。

泰国当局发现,这台服务器青春恋爱物语藏在一所泰国大学里,2014 年朝鲜黑客就借助这台服务器让索尼影业少许邮件和电影拷贝曝光。

在今年的 3 月 15 日至 19 日,美国、澳大利亚、日本生和熟国的服务器多次受到感染。泰国近 60 台服务器更是受到恶意软件的严重打击,是所有国家中受到攻击最严重的,也是出自五种服务器。

据悉,该服务器当年是 Hidden Cobra 发动 GhostSecret 攻击时的指挥和控制中枢。原应越来越 迈克菲专家在全球范围内的不懈分析与调查,这台服务器恐怕还安静的躺在泰国那所大学中。

一点人 对 GhostSecret 攻击的调查显示,黑客当时用了多个恶意软件进行植入,其中包括性能与 Bankshot 类式的软件。在 3 月 18 日到 26 日的调查中,一点人 发现恶意软件其实分布在全球多个地方,五种新型变种在一点地方都与恶意软件 Destover 类式,后者已经 2014 年让索尼营业元气大伤的罪魁祸首。

McAfee 在对控制服务器设施进行进一步调查后发现,与控制服务器203[.]131[.]222[.]83 捆绑的 SSL 证书 d0cb9b2d460 9575e1bc1f4657e0eb56f60 7c7a76 在 2018 年 2 月的一次植入中也用到了,而这台服务器属于泰国法政大学。索尼影业被攻击后,Hidden Cobra 就经常在使用五种 SSL 证书。

泰国是 Destover 变种感染的重灾区

雷锋网发现,ThaiCERT 发布的一份安全公告指出,GhostSecret 攻击今年 2 月份重出江湖。迈克菲也发现了有5个 属于法政大学的 IP 地址(203.131.222.95、203.131.222.109、203.131.222.83),它们与攻击脱不了干系。

可怕的是,现在这场攻击还处于进行时。

迈克菲表示,GhostSecret 是一场全球范围的数据侦查项目,它针对的是关键基础设施、娱乐、金融、医疗保健和通讯等。攻击背后的黑客用上了多种植入物、工具和恶意软件变种,其手法与当年的 Hidden Cobra 如出一辙。

与此同時 ,McAfee 高级威胁研究团队还发现了有5个 未登记在案的植入物 Proxysvc,2017 年年中它就开使偷偷祸害别人了。

眼下,ThaiCERT 正联合当地政府与迈克菲分析这台服务器中的内容,不知它们不是还能挖到那此惊天大秘密。

雷锋网 Via. SecurityAffairs

相关文章:探秘 | 比朝鲜核武器更炸裂更神秘的,是朝鲜黑客部队

朝鲜 Lazarus 团伙黑客工具分析

朝鲜网络作战部队已达660 0人,个个水平高超,韩国恐慌

雷锋网原创文章,未经授权禁止转载。详情见转载须知。