安全企业Proofpoint本周指出,某个国家级黑客集团持续锁定美国的公用业务服务供应商,展开鱼叉式网络钓鱼攻击,借机在受害者系统上植入LookBack恶意程序,从今年4月迄今,已有至少17个供应商遭到攻击。
Proofpoint是在7月注意到该黑客集团的行动,当时黑客锁定3家美国公用业务供应商展开鱼叉式网络钓鱼攻击,假冒为美国工程许可委员会,向这些供应商的员工发送网络钓鱼邮件,宣称受害者企业未通过检验,并附上一个含有恶意宏的Word档,打开后便会执行LookBack。
LookBack是个远程访问木马程序,也具备一个用来与由黑客掌控的命令暨控制(C&C)服务器交流的代理机制,它可用来审查流程、系统、文件数据,还能删除文件、执行命令、拍摄屏幕画面,也能移动或点击鼠标,可重新启动计算机,也能自我销毁。
本周Proofpoint进一步指出,同一个黑客集团于今年8月再度发动新一波攻势,目标同样是美国的公用业务供应商,但这次在网络钓鱼邮件中伪装成全球能源认证机构,邀请受害者参加认证考试,一样附上了含有恶意宏的Word文件,执行后所安装的也为LookBack。
Proofpoint表示,黑客集团并未因之前的攻击曝光而受挫,还不断地改善他们在网络钓鱼攻击上的策略、技巧与程序,也彰显出黑客对美国关键基础设备供应商的持续关注。
不过,Proofpoint目前只能确定相关攻击背后有国家的支撑,却无法识别其身份,主要原因为其攻击手法及工具,与已知的先进持续攻击(ATP)组织都不同。