CozyDuke里根本没有猴子

作为’Dukes family’系列的另一种APT(高级持续性威胁),CozyDuke专门攻击机要机构和公司,其中就包括美国政府办公室。CozyDuke(同时还被称为CozyBear、CozyCar或”Office Monkeys”(办公室猴子))以一段有趣的视频作为诱饵,诱使受害人点击。

作为’Dukes family’系列的另一种APT(高级持续性威胁),CozyDuke专门攻击机要机构和公司,其中就包括美国政府办公室。CozyDuke(同时还被称为CozyBear、CozyCar或”Office Monkeys”(办公室猴子))以一段有趣的视频作为诱饵,诱使受害人点击。

该网络攻击显然设计得十分精密,包括:加密的组件、反检测能力以及一套相对高级的恶意软件组件,其内在结构性与早前的MiniDuke、CosmicDuke和Onion Duke威胁都十分相似。

办公室猴子非常危险

真正值得一提的是,该网络攻击最初的渗透方法完全基于社交工程技术。而不幸的是,这一方法对于大多数有针对性的网络攻击而言相当有效。

这些网络攻击者提供了一段非常有趣的的视频(在办公室工作的猴子)作为诱饵,诱使受害人点击。整个文档内包含了一个可执行的视频文件,通过鱼叉式网络钓鱼电邮发送。通常此类钓鱼电邮中均带有一个附件或网站链接,有时是从那些已被感染病毒的合法甚至高评级网站发出。


一旦视频开始播放后,网络攻击者的病毒释放器即会被偷偷安装到系统内,准备接受来自命令和控制服务器发出的指令以及第二阶段恶意软件组件。

网络犯罪分子有理由相信许多收件人将会打开这个视频。不仅他们自己会播放;还会将这段视频与办公室的同事分享,而这将大大有助于该恶意软件的传播。考虑到被攻击目标的重要级别,大量的敏感信息可能被盗。

那么问题来了:如何才能有效降低这一可怕的威胁,甚至当你信任的员工对你精心构筑的安全防线造成威胁?当然,你不应低估社交工程的力量:试想,有多少忠诚的员工会忍住不去打开公司老板发出电邮(精心伪造)内的链接。

如何降低”Office Monkey“威胁

事实上,只需几项基本的安全防范措施就能有效抵御那些最复杂和完全有针对性的APT攻击。例如,简单地控制管理员权限、及时修补漏洞以及限制允许访问应用程序的数量,可将有针对性的网络攻击事件最高降低85%

卡巴斯基实验室带动态白名单的应用程序控制功能在这里能起到很大的作用。猴子视频—以及CozyDuke的其它恶意软件组件—在没有系统管理员的准许下不可能打开。

有些系统管理人员在处理日常高敏感度通讯内容时,缺乏应有的义务和责任。在这样的工作环境下,最好的方式是采用一个默认拒绝应用程序控制模式,严格限制可执行文件在对员工工作必不可少的系统组件和程序内运行。

特别适用于政府机关或其它高度管制企业的有用策略包括:

  • 使用网络控制技术将访问限制在仅允许的网络资源,不得访问那些与工作有关的内容—或至少限定在某几个网站类别内。
  • 使用Kaspersky Security for Exchange / Linux Mail提供的电邮内容过滤功能,排除可疑电邮和附件(例如存档),可能还要取决于收件人的工作角色和资历。
  • 使用设备控制技术以防未经请求的信息传输,无论是从内部网络向外发送、接收外部网络信息或只是在内部网络传输。该方法不仅有助于防止恶意软件传播,还能有效防范某些形式的有目的数据盗窃。
  • 为员工进行专业安全培训,例如卡巴斯基实验室所提供安全情报服务的一部分。如此即使坐在舒适的办公室,员工也能提升对所面临危险的警觉度和理解力。同时也培训他们如何避免许多看似毫无危险但事实上却不安全的做法,否则的话不仅会让他们的企业蒙受损失—甚至还会对他们国家的安全造成威胁。

从整体角度考量

在发动APT攻击之前,网络攻击者们将会对目标组织进行一番侦查—包括员工角色、业务流程以及现有详细的安全解决方案。掌握了这些知识以后,有助于评估攻击目标的漏洞以及躲避目前的安全机制。

因此,在处理APT攻击时,绝对有必要部署一个多层次安全方法,并通过大量涵盖IT网络不同部分的主动安全措施,增加您信任的反恶意软件程序。在”全副武装”并准备充分后,您的网络将从此坚不可摧,再也无法成为APT攻击的目标。

提示