騰訊禦見威脅情報中心：伊朗APT組織“人面馬”再度活躍

近日，據騰訊禦見威脅情報中心監測發現，伊朗的APT組織——“人面馬”（T-APT-05）再度活躍。該組織在2017年12月7日被FireEye披露後，在短短一個多月的時間內連續發起5次攻擊活動，主要攻擊目標集中在中東地區的政府、金融、能源、電信等行業用戶。

目前該攻擊雖然尚未在國內地區發現，但同樣不可放鬆警惕。騰訊電腦管家提醒國內用戶警惕來歷不明的郵件，保持騰訊電腦管家等安全軟體開啟裝填，抵禦不法分子的攻擊。

“人面馬”組織（T-APT-05），又稱APT34、Oilrig、Cobalt Gypsy，是一個來自於伊朗的APT組織。該組織武器庫齊全，基礎設施資源豐富，技術強大，當今最新的漏洞及其它最新的攻擊技術都會被利用。本次攻擊活動主要通過魚叉釣魚發起攻擊，

將木馬病毒植入office文檔、chm幫助文檔等誘餌檔，並通過訂單資訊等郵件內容和政治敏感內容誘導收件人打開查看。攻擊者竊取的使用者資訊，比如流覽器保存的帳號密碼、鍵盤和滑鼠記錄、攝像頭拍照或錄製視頻、麥克風錄製聲音、系統資訊等敏感資訊，竊取加密貨幣錢包中的金鑰和vpn憑證等，令中招用戶遭遇隱私洩露甚至是嚴重的財產損失。

通過分析近期的幾次攻擊活動，騰訊禦見威脅情報中心指出，該組織不止攻擊武器庫一直在不斷地進行升級，攻擊手法也越來越高明，從最初容易檢出的樣本到發展到今天殺毒軟體極難檢測的腳本木馬及jar版木馬，甚至還包括chm檔藏毒、word藏毒、漏洞利用、釣魚攻擊、dns tunneling技術等手段，無所不用其極。即使被曝光後某些技術手段失效，但是只要被攻擊目標存在價值，攻擊組織的行動就會持續。

（圖：“人面馬”某個誘餌檔的主要攻擊流程）

騰訊電腦管安全專家、騰訊安全反病毒實驗室負責人馬勁松建議廣大用戶，不要輕易點擊來歷不明的檔，可通過騰訊電腦管家詐騙資訊查詢視窗和騰訊哈勃分析系統進行安全檢測。

此外，對於企業用戶，可通過騰訊安全“禦界防APT郵件閘道”，解決惡意郵件的攻擊威脅。