神刀安全网

疑似成都黑客组织Suckfly专攻印度政府及私营企业

被RA称为Suckfly的网络间谍集团将目标指向政府及大型企业,特别是印度国内的各相关机构。其使用的后门名为Nidiran,外加一款名为Hacktool的凭证伪造工具、CVE-2014-6332 Windows OLE漏洞以及被盗的数字证书。

疑似成都黑客组织Suckfly专攻印度政府及私营企业

该集团最初于今年3月被赛门铁克公司发现,当时其曾自韩国多家企业处窃取到一系列数字化证书。(赛门铁克当时发表的报告称, IP地址源自中国成都的黑客组织 Suckfly 从 韩国公司窃取了多个企业证书去签名他们开发的定制后门和黑客工具。 报告地址

几个月之后,凭借着该集团留下的蛛丝马迹,赛门铁克公司的专家宣称其发现Suckfly集团早在2014年4月即有所行动。

Suckfly集团的目标主要集中在印度国内

该集团的主要目标为印度企业,但研究人员亦发现其曾经入侵部分沙特阿拉伯企业。赛门铁克公司表示,其发现该集团曾针对过 两个印度政府机关、一家大型电子商务企业、印度国内最大的财务组织之一、五大IT企业之一、一家航运服务供应商以及一家位于美国的印度医疗卫生服务供应商

除了一家私营企业外,该黑客集团将主要精力集中在两个印度政府机构身上。

“目前尚无证据表明Suckfly集团通过攻击政府机构获得了任何收益,但其它未知方可能会通过此类攻击获益,”赛门铁克公司的Joe DiMaggio报告称。“Suckfly攻击活动的性质表明,这些攻击可能并未由其自行组织并完成。”

Suckfly利用APT类战术

赛门铁克公司对Suckfly的运作模式进行了分析,并表示其使用了多数APT及经验间谍类组织所惯用的网络作战战术。

Suckfly的攻击活动以钓鱼邮件为先导,其负责提供陷阱文档。这些文件利用CVE-2014-6332漏洞向目标设备传播Nidiran后门,而攻击者接下来则凭借该后门安装Hacktool——一款密码伪造工具。

恶意人士随后利用这些密码侦察并搜索本地网络,收集任何可能有价值的数据,而后再次利用后门将信息发送至自有服务器端。

赛门铁克公司指出,这些攻击活动只会在工作日期间进行,以确保目标企业员工有机会阅读到这些鱼叉式钓鱼邮件。

截至目前,安全研究人员还无法准确判断该集团背后是否存在国家势力支持。

E安全/文 转载请注明E安全

E安全微信公众号: EAQapp

E安全客服&投稿邮箱:eapp@easyaq.com

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 疑似成都黑客组织Suckfly专攻印度政府及私营企业

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址