30国4万用户的政府服务登录凭证被盗

文章来源：企鹅号 - 代码卫士

聚焦源代码安全，网罗国内外最新资讯！

编译：360代码卫士团队

4万多名钓鱼攻击受害者政府服务的在线账户被盗，且这些信息可能已被在暗网黑客论坛上出售。

Group-IB公司的研究员发现这些登录数据可以访问全球30个国家的服务。该公司表示这些受攻陷凭证是研究人员通过检测和逆向工程恶意软件以及数字取证数据发现的。

多数受害者位于欧洲

超过一半的受害者来自意大利(52%)，其次为沙特阿拉伯(22%)和葡萄牙(5%)。其它国家的政府网站用户也受影响。

这些受害者包括在如下国家官方站点上拥有账户的政府员工、军人和平民：法国(gouv.fr)、匈牙利(gov.hu)、克罗地亚(gov.hr)、波兰(gov.pl)、罗马尼亚(gov.ro)、瑞士(admin.ch)和保加利亚政府网站(government.bg)。

遭攻陷的账户所在服务还包括以色列国防部(idf.il)、格鲁吉亚财政部(mof.ge)、挪威移民局(udi.no)、罗马尼亚和意大利外交部以及意大利国防部网站(difesa.it)。

受影响国家的计算机紧急响应小组也已得到通知，它们可采取措施将风险降到最低。

钓鱼骗局

Group-IB公司指出，黑客能够通过传播众所周知的间谍软件工具如Pony Formgrabber、AZORult和Qbot (Qakbot)的恶意邮件抓取用户名/密码对。

钓鱼攻击针对个人和企业邮件账户并将恶意软件伪装成合法文件或文档。当受害者打开附件时，恶意软件将会部署并开始寻找系统上的敏感信息。

Pony针对70多款恶意软件发动攻击，从配置文件、数据库和机密存储中寻找凭证。一旦收集数据后，它就会发送给攻击者的命令和控制服务器。

AZORult从web浏览器中盗取密码并搜索和密币相关的数据。该木马具有多种能力如传播其它威胁的下载器功能如Aurora勒索软件。

Qbot也被称为“QakBot”和“PinkSlip”，它是一个多功能银行木马，已活跃十多年的时间。它主要针对的是高级别受害者。

它具有类似蠕虫的能力，能够在受攻陷网络中传播并且窃取web会话、cookie和web证书。该恶意软件还具有键盘记录功能，能够抓取凭证信息。

Group-IB公司表示，政府网站的登录凭证在地下黑客论坛上不太常见，因为它不具备直接的金融价值。

然而，对于更高级的攻击者而言，这些登录凭证更具价值，因为他们可借此访问机密信息，还可渗透政府网站实施间谍行为。

研究人员表示，每个被攻陷的政府员工的账户都可导致商业机密或国家机密被盗。

扫码

添加站长进交流群

领取专属 10元无门槛券

私享最新 技术干货