近日,瑞星威胁情报中心捕获到两起针对巴勒斯坦大选的APT攻击事件,通过对攻击手法的分析来看,发现这两起攻击均与APT组织“APT-C-37”(又称“拍拍熊”)有关。该组织通过投放伪装成巴勒斯坦选举会议的相关文档等方式进行远程控制攻击,其意图以攻击巴勒斯坦政府为主,目的在于影响巴勒斯坦国家大选。
据悉,“拍拍熊”是一个中东地区背景,使用阿拉伯语且有政治动机的APT攻击组织,自2015年被发现至今,频繁进行有组织、有计划、针对性的不间断攻击,特别是针对巴勒斯坦、以色列、埃及等中东动乱国家的进行攻击。“拍拍熊”组织一直保持着积极的活跃度,典型的攻击目标包括政府机构、武装组织领导、媒体人士、政治活动家和外交官等。
瑞星安全专家介绍,此次截获的APT攻击事件应与近期的巴勒斯坦大选有关,通过截获的两起诱饵文件发现,其主题为选举委员会会议和Majdalani严重怀疑阿巴斯总统关于总统选举。攻击者将带有木马病毒的诱饵文档通过邮件等方式进行投放,而该病毒可自解压,一旦受害者运行了自解压的木马文件,就会被攻击者远程控制,从而可进行各种不法操作。
巴勒斯坦大选一直都备受国际关注,且关系到中东地区乃至世界各国的整体局势,而截至10月底,巴勒斯坦尚未确定大选时间表。巴官方通讯社“瓦法”日前援引阿巴斯的话报道说,巴勒斯坦将首先举行立法委员会选举,几个月后再举行总统选举。因此,在这段时间“拍拍熊”发起APT攻击,无异于在破坏整个国际政治局势。
由于“拍拍熊”组织针对的目标都是具有重大信息资产,如国家军事、情报、战略部门,以及如金融、能源等影响国计民生的行业,因此国内相关政府机构和企业单位务必要引起重视,加强防御措施。
1.不打开可疑邮件,不下载可疑附件。
2.部署网络安全态势感知、预警系统等网关安全产品。
3.安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。
4.及时修补系统补丁和重要软件的补丁。