全球知名的信息安全供应商——卡巴斯基实验室提醒人们注意一个名为“加沙网络黑帮(TheGazacbergang)”且使用阿拉伯语的网络犯罪组织。该网络犯罪组织的活动范围主要位于MENA地区(中东和北非),集中在埃及、阿联酋和也门。该组织早在2012年就开始活动,在2015年第二季度和第三季度尤为活跃。这些攻击者主要针对政府机构,尤其是大使馆进行攻击。其主要攻击目标为IT和应急响应小组人员。
据了解,Gaza网络黑帮会主动发送恶意文件给信息技术(IT)和应急响应(IR)人员。众所周知,在组织内部,IT人员通常比其他员工拥有更多的访问权限,因为这些人员需要管理和操作基础设施。所以,对网络罪犯而言,获取这些人员设备的访问权远比普通用户具有价值。应急响应人员需要对网络事件进行调查,因而同样能够访问一些组织内部的敏感数据,同时还具有特殊的访问权限,让他们可以在网络上追踪恶意或可疑行为。
尽管Gaza网络犯罪组织的攻击目标主要为政府机构,但他们使用的均为知名的远程控制工具(RAT),例如XtremeRAT和PosionIvy。Gaza黑帮主要通过钓鱼邮件,感染受害者。通过使用简单的感染工具和社交工程技巧,包括使用特殊的文件名、内容和域名(例如gov.uae.k*m),他们可以成功感染目标。网络罪犯用来在受害者计算机上释放恶意软件的文件名很多,包括:
• “IndicationsofdisagreementbetweenSaudiArabiaandUAE.exe”,
• “WikileaksdocumentsonSheikh.exe”,
• “ScandalouspicturesofEgyptianmilitants,judgesandconsultants”,
• “PresidentMahmoudAbbascursingMajedFaraj.exe”,
• “LeakedconversationwiththeEgyptianleaderofmilitaryforcesSodqiSobhi.exe”,
• “Secret_Report.exe”,
• “MilitaryPolicelessmilitarysexualoffenses,drugoffensesmore.exe”
对于上述重大发现,卡巴斯基实验室全球研究和分析团队资深安全研究员MohammadAminHasbini表示:“根据受攻击目标列表,我们可以发现其中包括很多中东和北非地区的政府机构,所以,我们认为这起网络攻击具有政治目的。通过获取被感染计算机的控制权和访问权,网络罪犯有机会窃取重要的信息,并且可能造成严重的破坏。对网络攻击进行定性非常复杂,而且很多时候是无法做到的。目前,我们仍不知道这起攻击的幕后指使人是谁。”
为了避免遭受该网络犯罪组织的感染,卡巴斯基实验室安全专家推荐用户采取以下措施:
• 提防带有附件的电子邮件;
• 保持软件更新,尤其是使用广泛且经常被网络罪犯利用进行攻击的软件;
• 如果你发现自己的设备上有包含漏洞的软件,而且目前还没有补丁可用,请暂时不要使用该软件;
• 使用可靠的反恶意软件解决方案。例如,卡巴斯基实验室针对个人和企业用户的安全产品能够提供强大的安全保护,其效力已在众多权威测试中得到证实。