近日，瑞星威脅情報(bào)中心捕獲到一起專門針對(duì)軍工領(lǐng)域從業(yè)人員發(fā)起的APT攻擊事件，通過分析發(fā)現(xiàn)此次事件的主謀為L(zhǎng)azarus組織，該組織通過偽造國(guó)際知名軍工企業(yè)洛克希德·馬丁公司的招聘文件為誘餌，誘騙軍工領(lǐng)域相關(guān)人員點(diǎn)擊并執(zhí)行帶有惡意程序的文件，從而達(dá)到竊取機(jī)密信息、遠(yuǎn)程控制的目的。

圖：攻擊流程

據(jù)悉，Lazarus組織是一個(gè)自2007年就開始對(duì)目標(biāo)進(jìn)行網(wǎng)絡(luò)攻擊的威脅組織，該組織又被稱為APT-C-26、T-APT-15等，是現(xiàn)今最活躍的威脅組織之一。該組織疑似來自朝鮮，具有國(guó)家背景。其除了擅長(zhǎng)信息盜取、間諜活動(dòng)外，還會(huì)蓄意破壞用戶主機(jī)，以牟取經(jīng)濟(jì)利益，攻擊的國(guó)家包括中國(guó)、德國(guó)、澳大利亞和日本等，涉及的領(lǐng)域有航空航天、政府、醫(yī)療、金融和媒體等。

瑞星安全專家介紹，在此次攻擊事件中，Lazarus組織通過偽造的國(guó)際知名軍工企業(yè)洛克希德·馬丁公司的高級(jí)職務(wù)招聘文件作為誘餌，向軍工領(lǐng)域從業(yè)人員投放名為“LMCO_Senior Systems Engineer_BR09.doc ”的文檔，以此誘騙目標(biāo)用戶點(diǎn)擊查看。而該文檔內(nèi)容則顯示為亂碼，其目的就是為了誘導(dǎo)用戶點(diǎn)擊“啟用內(nèi)容”，一旦用戶點(diǎn)擊啟動(dòng)了這個(gè)宏代碼，后臺(tái)就會(huì)釋放并執(zhí)行內(nèi)嵌于文檔中的惡意程序，開啟攻擊行為。由于該文檔極具誘惑性和隱蔽性，因此普通用戶難以防范，極易受騙。

圖：誘餌文檔

瑞星安全專家表示，此次攻擊事件中的惡意樣本為遠(yuǎn)程控制類病毒，具有收集本地敏感信息、連接遠(yuǎn)程服務(wù)器、上傳信息并接受命令等基本功能，同時(shí)與遠(yuǎn)程服務(wù)器的雙向通信數(shù)據(jù)都經(jīng)過編碼處理，因此可以有效的逃避以檢測(cè)特征碼為主要防御手段的流量監(jiān)控，其隱蔽性極高。而此次攻擊目標(biāo)特別針對(duì)軍工領(lǐng)域從業(yè)人員，因此該類用戶應(yīng)格外警惕，加強(qiáng)防范，避免攻擊。目前，瑞星ESM防病毒終端安全防護(hù)系統(tǒng)可攔截并查殺此次攻擊攜帶的相關(guān)病毒，廣大用戶可安裝使用，規(guī)避相應(yīng)風(fēng)險(xiǎn)。

圖：瑞星ESM防病毒終端安全防護(hù)系統(tǒng)查殺相關(guān)病毒

瑞星公司表示，由于APT攻擊有著針對(duì)性強(qiáng)、組織嚴(yán)密、持續(xù)時(shí)間長(zhǎng)、高隱蔽性和間接攻擊的顯著特征，且針對(duì)的目標(biāo)都是具有重大信息資產(chǎn)，如國(guó)家軍事、情報(bào)、戰(zhàn)略部門和影響國(guó)計(jì)民生的行業(yè)如金融、能源等，因此國(guó)內(nèi)相關(guān)政府機(jī)構(gòu)和企業(yè)單位務(wù)必要引起重視，加強(qiáng)防范，做到以下幾點(diǎn)：

1. 不打開可疑文件。

不打開未知來源的可疑的文件和郵件，防止社會(huì)工程學(xué)和釣魚攻擊。

2. 部署網(wǎng)絡(luò)安全態(tài)勢(shì)感知、預(yù)警系統(tǒng)等網(wǎng)關(guān)安全產(chǎn)品。

網(wǎng)關(guān)安全產(chǎn)品可利用威脅情報(bào)追溯威脅行為軌跡，幫助用戶進(jìn)行威脅行為分析、定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網(wǎng)絡(luò)威脅，最大范圍內(nèi)發(fā)現(xiàn)被攻擊的節(jié)點(diǎn)，幫助企業(yè)更快響應(yīng)和處理。

3. 安裝有效的殺毒軟件，攔截查殺惡意文檔和木馬病毒。

殺毒軟件可攔截惡意文檔和木馬病毒，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運(yùn)行，保護(hù)用戶的終端安全。

4. 及時(shí)修補(bǔ)系統(tǒng)補(bǔ)丁和重要軟件的補(bǔ)丁。