外媒報道稱,被網絡安全研究人員稱作 TA456 的黑客團隊,正在發起針對國防承包商員工的攻擊。其試圖通過社工手段,用惡意軟件感染受害者的計算機。Proofpoint 指出,攻擊者在 Facebook 上創建了一個假裝是有氧舞蹈教練的角色賬號,並與一名在航空航天領域的承包商子公司工作的員工建立了聯繫。
偽裝賬戶
據說雙方有通過企業和個人通訊平台維持聯繫,而攻擊者利用持續的電子郵件通訊來發送目標惡意軟件,最終於 2021 年 6 月前的幾個月得逞。
惡意軟件能夠通過 SMTPS 將重要信息泄露到受攻擊者控制的電子郵件賬戶,並在受感染的計算機上建立持久的竊密連接,以將偵查細節提供給命令與控制端。
郵件截圖(來自:Proofpoint)
Softpedia 指出,此類網絡間諜活動的發起者,往往有着深厚的資源和背景,且危險性和持久性都相當值得關切。
社交平台方面,Facebook 曾於 7 月中旬打掉了一個與 Tortoiseshell 惡意軟件有關的類似人員網絡。
在每次運作的時候,惡意軟件還會抹除在前一天留下的痕迹。
被用來釣魚的所謂“飲食調查.xlsm”格式文件
Proofpoint 研究指出:過去八個月里, 運營 Marcy Flores 賬號的 TA456,向目標發去了混雜的電子郵件、圖像、以及視頻,以騙取受害者的信任和建立融洽的關係。
甚至有一次,TA456 試圖通過 OneDrive 網盤鏈接傳遞一個無害但性感的視頻。
在拉低了受害者的防備心理之後,TA456 於 6 月初,再次向受害者發去了一封所謂的“飲食調查”文件,並且最終得逞。
慶幸的是,Facebook 已經徹底關閉了 Marcy Flores 的社交媒體賬戶。