趨勢科技威脅研究團隊發表了一篇報告,裡面詳細介紹了被稱為Rocket Kitten駭客組織的活動,這群駭客已經從事網路間諜活動好幾年了。我們之前發表過關於此組織的報告,但之後在另一研究機構 ClearSky 的協助下又發現了一些新的活動,於是我們共同合作發表了這篇新的報告。
經由受害者所竊取得來的資料,進一步深入其所在的產業
今天的「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)大多數都是為了竊取資料獲利。有趣的是Rocket Kitten的目的似乎不是為了賺錢,而是在進行網路間諜活動。其攻擊目標也不像我們在之前攻擊中所看到的組織,而是特定產業內的個人。網路間諜活動很難確認實際被竊的資料以及被如何的使用,但分析這些攻擊所使用的惡意程式碼,很明顯地發現會經由受害者所竊取得來的資料,進一步深入其所在的產業,因此推斷間諜活動似乎是攻擊的原因。
被濫用在惡意用途上的工具唾手可得,攻擊者甚至不需要自己創新。攻擊者使用買自地下市場的惡意軟體及客製化程式碼,以利用不同的方式來建立自己的工具組合以感染受害者。比如惡意滲透測試工具(GHOLE),該工具是許多組織使用的合法 Core Impact Pro工具的惡意版本,他們用在攻擊中以判斷攻擊受害者的方式。另外也可能跟 Hacking Team 資料外洩事件中的流出惡意工具和零時差漏洞有關聯。
專駭中東地區的科學家、研究人員、記者和生活在其他國家的伊朗人士
駭客組織鎖定的受害者背景也讓人寡目相看,他們主要針對的是中東地區的科學家、研究人員、記者和生活在其他國家的伊朗人士。從一直改變魚叉式網路釣魚(Phishing)郵件內容,不斷寄送針對受害者設計的各種資訊,直到引誘攻擊目標開啟為止, 除此之外,他們還會透過電話來跟受害者建立信任關係。可見他們對入侵受害目標非常執著,這讓我們了解到這群惡意份子對於竊取受害者的資料事在必得,無論需要進行多少工作來侵入攻擊目標。
這份報告深入介紹此駭客組織活動的詳細資料,是針對駭客組織如何進行持續的網路間諜活動的極佳研究案例。