雙重清潔應用技術的解釋
Dragon Breath APT 組織最近由于其針對包括博彩業在内的大量行業進行複雜的網絡攻擊而聞名。最近,安全研究人員發現了該組織使用的最新技術:使用雙重清潔應用程序的方法來逃避檢測并滲透到目标的網絡中。
雙重清潔應用技術需要使用兩種不同類型的惡意軟件,兩者都可以逃避傳統的殺毒軟件的檢測。第一種惡意軟件是一個看起來很合規的軟件,對安全系統來說似乎無害。它通常會被僞裝成一個合法的應用程序或文件,如 PDF 文檔或微軟 Office 文件。
一旦這個幹淨的軟件被下載并執行後,它就會下載第二個惡意的軟件。Sophos 研究員 Gabor Szappanos 說,這種攻擊是基于一個經典的側面加載攻擊,該工具是由一個幹淨的應用程序、一個惡意加載器和一個加密的有效載荷組成,随着時間的推移系統會對這些組件進行各種修改。最新的攻擊活動還增加了一個新的特點,即在第一階段的應用程序會在後台加載第二個合規的應用程序并自動執行。第二個合規的應用程序會在後台加載惡意的 DLL 加載器。之後,惡意的加載器 DLL 會執行最終的有效載荷。
Dragon Breath APT 組織對博彩業的攻擊
第二種惡意軟件會滲透到目标網絡并進行竊取敏感數據,如用戶名、密碼和财務等信息。爲方便後續的攻擊,它還可以創建後門,或可能對網絡的基礎設施造成嚴重破壞。QiAnXin 在 2020 年報告了 Dragon Breath 組織,該組織也被稱爲 APT-Q-27 和黃金眼。
該攻擊報告描述了一個釣魚攻擊活動,攻擊者欺騙用戶下載一個已感染木馬病毒的 Telegram 的 Windows 安裝程序。Dragon Breath APT 組織還一直在使用雙清應用技術來攻擊博彩業。這個行業由于非常依賴于在線交易和存儲敏感的客戶數據,因此特别容易受到網絡攻擊。
該集團對賭博業的攻擊是非常複雜的,涉及到使用多種攻擊技術來逃避檢測。該集團還使用了社會工程學戰術,欺騙企業員工下載惡意軟件或披露敏感的信息。
加強網絡安全措施
除了會造成财務損失外,漏洞還可能會導緻一些合規公司的客戶失去信任以及損害聲譽。客戶也很可能不願意再繼續使用一個已經失去信譽的平台,而監管機構可能會對企業進行罰款或制裁。
爲了防止這些類型的攻擊,很多公司應該實施強有力的網絡安全措施。這也就包括定期培訓員工如何識别和避免網絡釣魚攻擊,使用先進的防病毒軟件,以及實施多因素認證。
公司還應該定期進行滲透測試和漏洞評估活動,以确定其系統中存在的弱點。這将使他們能夠在潛在的安全問題被威脅者利用之前積極主動地解決這些漏洞。