返回新闻列表

Hellsing编年史:间谍对间谍的故事

       卡巴斯基实验室最近发现了一种罕见的现象,即一个网络犯罪组织对另一个网络犯罪组织进行攻击。2014年,我们发现了一个名为Hellsing的网络间谍组织。该组织规模较小,在技术方面也并不突出,其主要针对亚洲政府机构和外交机构进行攻击。之后,Hellsing遭受到另一个网络犯罪组织发动的鱼叉式钓鱼攻击,所以决定进行反击。卡巴斯基实验室认为,这一现象标志着网络犯罪行为中出现了一种新的趋势:APT战争。

       卡巴斯基实验室安全专家在针对Naikon网络间谍组织行为进行研究时,发现的上述行为。Naikon网络间谍组织同样针对亚太地区的组织和机构进行攻击。安全专家注意到,Naikon的攻击目标中,有一个发现了其利用包含恶意附件的鱼叉式钓鱼攻击邮件试图感染自身系统的企图。

       被攻击者对收到的邮件发信人的真实性表示怀疑,很显然根本不信任这封邮件,所有没有打开其中的附件。不久之后,受攻击者向发件人转发了一封邮件,其中包含自己的恶意软件。这一举动引起了卡巴斯基实验室的注意,并开始了后来的调查,从而让我们发现了Hellsing这一APT组织。

       Hellsing所使用的反击手段,表明Hellsing想要查清Naikon组织的身份,并且收集该组织的相关情报。

       卡巴斯基实验室对Hellsing网络间谍组织进行深度分析后发现,他们会使用一种鱼叉式钓鱼攻击邮件,其中包含恶意附件,用来在不同的组织中传播间谍软件。如果受害者打开其中的恶意附件,系统就会被一种定制的后门程序所感染,从而可以下载和上传文件,并且可以对自身进行更新和卸载。根据卡巴斯基实验室的观察,遭受Hellsing攻击的组织数量近20个。

Hellsing的攻击目标

       卡巴斯基实验室在马来西亚、菲律宾、印度、印度尼西亚和美国都检测和拦截到Hellsing所使用的恶意软件,其中大多数受害者都位于马来西亚和菲律宾。此外,这些攻击者对攻击组织的类型具有选择性,他们主要攻击的是政府机构和外交机构。

       “Hellsing针对Naikon的反击,可以说是一种《帝国大反击》式的报复行为,而且非常令人兴奋。过去,我们也曾经见过APT组织在窃取受害者通讯录后,根据通讯录名单进行大规模垃圾邮件发送,无意之中向其他APT组织发动过攻击。但是这次攻击的目标和来源都表明,这很可能是一次故意进行的APT对APT攻击,”卡巴斯基实验室全球研究和分析团队总监Costin Raiu说。

       根据卡巴斯基实验室分析,Hellsing网络间谍组织从2012年就开始进行攻击,目前仍然处于活跃状态。

保护措施

       为避免遭受Hellsing攻击,卡巴斯基实验室建议用户采取以下安全措施:

  • 不要打开陌生人发送的邮件中的可疑附件
  • 注意有密码保护的压缩文档,尤其是其中包含的SCR或其它可执行文件
  • 如果对附件的安全性不确认,请在沙盒中打开它
  • 确保使用较新的操作系统,并且确保及时安装安全补丁
  • 及时更新所有第三方应用程序,例如Microsoft Office、Java、Adobe Flash Player和Adobe Reader

       卡巴斯基实验室产品能够成功检测和拦截Hellsing和Naikon间谍组织使用的恶意软件。

       想要了解更多关于Hellsing网络间谍组织和其反击行动,请访问Securelist.com