最近,在美国与台湾的防务行业相关会议上,安全研究公司 Cyble 报告了一起恶意软件攻击事件。根据该研究机构的说法,此次攻击被认为是为了代表中国政府收集情报的行动,具体的攻击手法是利用文件无存fileless恶意软件感染。
白鲸加速器app下载安装Cyble指出,这次攻击之所以引人注意,是因为其采用了一种新机制以避免被检测。不同于传统的利用漏洞或社会工程学将可执行文件植入目标系统的方式,此次攻击选择在内存中运行,通过加载文件并实时发起攻击。
这种被称为“依靠现有资源生存”的攻击方式越来越被广泛采用,因为其留痕极少,需要的恶意软件包或自动化攻击的投资也非常有限。
Cyble解释道:“攻击开始时,一份可疑的压缩文件中包含一份伪装成PDF文档的LNK文件。这种欺骗旨在诱使用户执行恶意LNK文件,进而在后台触发一系列隐蔽操作。”
在此之后,攻击者通常会执行标准的情报操作活动,记录系统数据和用户行为,最终将这些数据传输到一个可能由政府关系人控制的远程服务器上。
虽然尚未确认具体的威胁行为者及其获利的政府关系,但很容易猜测,关注台湾与美国防务行业会议的某些势力自然不言而喻。
Cyble补充道:“中国的威胁行为者在针对台湾方面有着记录显著的历史,尤其是在重要政治事件期间。”尽管存在这种模式,但目前尚未找到当前活动背后的具体 威胁来源,我们也无法将这些策略、技术与程序TTPs连接至任何已知的威胁行为者或高级持久性威胁APT团体。
随着美国即将开始有争议的总统选举季,各类外国情报机构几乎确定会试图干预,以期在这些事务中为自己牟利。
可以预见的是,威胁行为者将发起包括恶意软件安装、散播虚假信息和数据收集等活动的系列攻击。
上海市共和新路1968号8幢10楼
