世界知名计算机及网络安全提供商 F-Secure 于本周四发布一份报告,详细介绍了黑客组织 Callisto 针对欧洲外交与安全政策实体展开的情报搜集活动。
据 F-Secure 研究人员介绍,尽管尚未发现 Callisto 与其他黑客组织之间存在关联,但该组织至少从 2015 年 10 月开始就一直处于活跃状态。据悉,Callisto 的主要攻击对象为东欧与南高加索地区的不同个体与组织机构,其中包括格鲁吉亚、亚美尼亚与阿塞拜疆等区域。
2015 年底,F-Secure 跟踪 Callisto 时发现该组织发送具有高度针对性的 Gmail 钓鱼邮件,其中部分邮件发送至私人电子邮箱,可以此推断攻击者曾面向目标群体展开侦察工作。安全专家认为,黑客设法劫持部分账户并利用这些账户向其他目标传播网络钓鱼邮件。
2016 年初,网络间谍组织 Callisto 向军方与政府官员、智库员工及记者发送含有恶意文档的钓鱼邮件,该邮件中包含恶意软件的 Word 文档,攻击者无需利用漏洞即可展开攻击。如果收件人点击文档并按照提示允许运行该程序包,恶意软件就会被执行。调查表明,这款名为 Scout 的恶意软件作为一款用于侦测受感染系统、安装其他恶意软件的轻型后门,是意大利间谍软件制造商 Hacking Team 在 Galileo RCS(远程控制系统)平台上提供的工具之一。据悉,Galileo 平台曾于 2015 年遭黑客入侵,致使大量工具在线泄漏。Callisto 组织正是利用当时泄露的安装程序发起攻击,而非依靠 Galileo 源代码。目前尚不清楚攻击者是否在受感染系统中安装恶意软件。
F-Secure 分析显示,Callisto 组织使用的基础设施与托管受控物质贩卖商店的服务器相连,这表明可能存在网络犯罪迹象。此外,专家们还发现攻击者与俄罗斯、乌克兰与中国等国家使用的基础设施之间存在联系。研究人员表示,一种可能的解释是该网络犯罪组织具有某种国家或民族背景,如代表或服务于政府机构等。然而,根据目前掌握的信息并不能对 Callisto 组织的性质或隶属关系做出任何明确判断。
据 F-Secure 观察,尽管 Callisto 已超过一年未使用恶意软件进行攻击,但该组织仍处于活跃状态,并且每周都会建立新的网络钓鱼基础设施。值得一提的是,俄罗斯联盟间谍组织 APT 28、Pawn Storm与 Fancy Bear (梦幻熊)也同样将东欧与南高加索地区设为攻击目标。
原作者:Eduard Kovacs,译者:青楚,译审:游弋
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
from hackernews.cc.thanks for it.