迈克菲曝光“神枪手”间谍软件 渗透全球数十家国防与政府机构

CNBC 近日报道了代号为“神枪手”（Operation Sharpshooter）的黑客行动，其主要针对全球各大国防机构与政府组织。

网络安全公司迈克菲（McAfee）称，网络犯罪分子向 87 家公司的个人发去的信息。通过将自己伪装成求职应聘者，引诱受害机构打开随附的恶意文件。如不幸中招，它会下载另一款恶意软件，让黑客能够窃取情报、并将之发送到一台控制服务器上。

攻击者可获取用户名、IP 地址、网络配置、系统设置等数据的访问权限。

该恶意软件的级别较高，主要针对国防机构和政府组织。迈克菲称，黑客利用渗透到全球数十家企业的间谍软件，窃取了大量的情报。

一旦被引诱打开，他就会安装另一款名叫“Rising Sun”（日升）的恶意程序，打开一个“后门”，以便于黑客提取情报内容，并将其发送到远程的控制服务器。

周三的时候，迈克菲的首席科学家兼研究员 Raj Samani 在致 CNBC 的邮件中解释道：“我们知道，这项活动的目的是进行间谍活动。它是最近才被发现的，后续情况仍有待观察”。

许多情况下，此类攻击都是其它事件的先兆。但我们希望揪出并分享其中的细节，以便将该活动的真实目的扼杀在苗头阶段。

据悉，本次攻击疑似与 Lazarus Group 有关，作为一家被各大网络安全企业曝光过的网络犯罪集团，它被认为发起了 2015 年针对韩国企业的黑客入侵事件。

不过迈克菲指出，现在就下定论的话，未免也太早了。毕竟最初的恶意文件，是在托管在美国境内的。虽然战术和代码上有相似指出，但本轮攻击似是故意混淆。

虽然当前还不确定受影响的机构与被盗数据的规模，但迈克菲在报告中强调，包括美国、英国、俄罗斯在内的 24 个国家/地区，有 87 家企业受到了影响。

迈克菲研究人员在一篇博客文章中写到 —— 我们将继续监控此活动，并在自己或业内其他人获知更多信息时给予通报。

妥协指标（IOCs）

Hashes：

8106a30bd35526bded384627d8eebce15da35d17

66776c50bcc79bbcecdbe99960e6ee39c8a31181

668b0df94c6d12ae86711ce24ce79dbe0ee2d463

9b0f22e129c73ce4c21be4122182f6dcbc351c95

控制服务器：

34.214.99.20/view_style.php

137.74.41.56/board.php

文档链接：

hxxp://208.117.44.112/document/Strategic Planning Manager.doc

hxxp://208.117.44.112/document/Business Intelligence Administrator.doc

hxxp://www.dropbox.com/s/2shp23ogs113hnd/Customer Service Representative.doc?dl=1

*转自cnbeta