4月1日,雷锋网从微步在线了解到,境外黑客组织“白象”在蛰伏了一段时间后,于今年3月上旬对国内发起攻击。
年12月下旬,国外网络安全公司趋势科技对其攻击活动曝光后,该团伙迅速停用了所有域名、IP等基础设施,进入“蛰伏期”。然而在今年3月上旬至3月中旬,“白象”团伙再次发起针对我国的网络攻击,使用的诱饵文档均为某特定期间的新闻话题,涉及*事、社会、法律等多个方面。
此次,白象利用诱饵文档,通过Office漏洞向受害主机植入木马后门,相关程序与该团伙此前使用的木马结构功能基本一致,可根据远程控制服务器发送的指令完全控制受害主机。此次攻击活动系通过钓鱼邮件对特定单位和个人发起,且攻击活动仍在继续。
据微步在线捕获的样本文档显示,“白象”使用的多个诱饵文档,分别存放在fprii.net、ifenngnews.