旧金山国际机场是世界级的高水准机场,每年承载游客5000万人次。从这里可以飞往北美各地以及全世界各个城市。

凭借独特的设施、顾客服务以及娱乐项目,旧金山国际机场被全球旅行者评为业内最好的机场。在2015年,旧金山国际机场被《Frequent Business Traveler》杂志评为美国最佳机场,同时全球知名的评论网站Skytrax将旧金山国际机场评为北美最优质客服机场。

然而,这家最佳机场,在4月7日贴出告示称,SFOConnect.com和SFOConstruction.com在2020年3月被网络攻击,网站被插入恶意代码用于窃取某些用户的登陆凭据,目前已知有人访问过该网站已经通知更改密码。

邮箱get(跑题了)

marcom@flysfo.com

就在众人纷纷猜测谁敢干出如此"英勇"之事时,来自斯洛伐克布拉迪斯拉的ESET公司给出了答案。

其称元凶便是:著名的APT组织Dragonfly(蜻蜓),又名Energetic Bear(活力熊),据美国称是来自俄罗斯的网军。

ESET给出的理由是,攻击者植入到网站的代码和攻击方式和此前Dragonfly的TTP一致。

如下图所示,该段代码目的是通过SMB共享目录的方式收集访问者的Windows凭据(用户名/NTLM哈希),ESET恶意软件研究员Matthieu Faou称DragonFly已经使用这种通过file://的获取手法多年。

file://51.159.28.101/icon.png

黑鸟通过查看卡巴斯基2018年的报告,发现确实手法类似,同样是通过水坑进行攻击。

参考链接:

https://securelist.com/energetic-bear-crouching-yeti/85345/

建议国内也可以进行类似的规则下发和查询。

ESET在后续补充道,本次攻击和著名黑产组织MageCart没有关联,主要在于攻击者不是为了获取访问者访问被攻击网站的账号密码,而是为了获取访问者本身的Windows凭据。

基于此,他们怀疑该组织是否正在对全美的机场进行类似的攻击,因此打算扩大搜查面积。

Dragonfly组织至少从2011年起非常活跃,当时它主要攻击美国和加拿大国防和航空公司,而在2013年初将精力集中在美国和欧洲的能源公司上。

2014年,赛门铁克的安全专家发现了一个针对美国,意大利,法国,西班牙,德国,土耳其和波兰的组织的新活动。

蜻蜓进行了一次网络间谍活动,主要攻击了电网运营商,主要的发电公司,石油管道运营商和能源行业的工业设备提供商。

根据美国国土安全部发布的JAR报告,蜻蜓是与政府有联系的俄罗斯APT网军。

声明:本文来自黑鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。