微软成功清理与朝鲜黑客组织收割者(APT37)有关的50多个钓鱼网站
被安全业界编号为APT37的高级持续性威胁组织收割者(代号铊)目前掌控的50多个钓鱼网站被微软安全部门接管。
收割者是来自朝鲜的黑客组织专门利用各种零日漏洞发动攻击,而发动攻击就需要利用钓鱼邮件或网站诱导点击。
用户收到钓鱼邮件后不慎点击其中的链接就有可能会被感染,尤其是利用Flash Player 漏洞的攻击无需用户交互。
在经过长期追踪和调查后微软厘清与收割者组织相关的 50 多个域名 ,这些域名被用来发送邮件和制作钓鱼网站。
微软安全部门在Microsoft Office 365 系列产品中监测到多起收割者相关的攻击 , 这也正好可以收集相关的域名。
最终微软在美国弗吉尼亚州向收割者提起法律诉讼,尽管收割者成员都不清楚但是微软向法院申请接管这些域名。
在西方圣诞节假期期间美国法院批准微软的请求也就是允许接管这些恶意域名,域名注册商需要遵守法院的命令。
目前这些用于非法用途的域名都已经被微软安全部门接管,当然收割者组织肯定也会注册更多域名用于非法活动。
对于该组织其实安全业界已经追踪许久,因为在技术实力方面收割者组织比较强所以也让更多安全公司介入调查。
收割者最常用的方式就是利用操作系统或者软件的零日漏洞发动攻击,而其中Flash Player 是被用的最多的软件。
这款播放器在绝大多数电脑上都有安装且漏洞数量特别多,因此利用其零日漏洞发动攻击无需用户交互即可感染。
攻击目标方面收割者组织主要面向韩国、日本、越南以及中东地区的政府机构或化工、电子和航空航天业等企业。
攻击方式方面该组织在社会工程学方面也非常出色,经常会利用提前收集的各种信息编造具有针对性的钓鱼邮件。
当然最主要的攻击目的其实主要还是用于窃取机密数据,不过业界目前没有太多关于收割者窃取数据的公开案例。