网路攻击分工越来越精细,这两年常出现「初始入侵管道掮客(Initial Access Broker)」,就是专门收集可存取特定组织的帐密资料的角色。但如今,就连攻击者所使用的短网址,也有专门提供服务的供应商。
近期有研究人员揭露名为Prolific Puma的恶意转址服务供应商,并指出该组织至少经营超过4年未被发现。
【攻击与威胁】
该组织注册了大量网域来提供服务,从今年4月到现在,估计注册3.5万至7.5万个网域名称,包含.us、.link、.info、.com、.cc等,今年5月更专攻美国组织及美国人才能注册的.us网域,目前该组织已注册了数千个。 研究人员指出,此供应商取得新网域通常会静置一段时间,以便躲过资安系统的封锁。Prolific Puma并非研究人员唯一发现的恶意短网址服务,但该组织经营的短网址服务规模最大、他们分析采用其服务的网站,都是涉及非法的内容。
研究人员指出,这款资料破坏软体特别之处,在于不与C2连线,也不会外泄受害组织的资料,更没有留下要胁付款的勒索讯息。取而代之的是,此资料破坏软体借由无用的资料来覆写档案,导致资料难以复原,甚至影响整个作业系统,而且,该程式运用多个处理程序,并透过排程系统执行,最终遭到破坏的档案会含有BiBi(以色列总理Benjamin Netanyahu的暱称)字串的副档名。骇客这么做的目的,显然是为了让破坏行动的效率最大化。 值得留意的是,研究人员在公布这个恶意程式的时候,恶意软体分析网站VirusTotal仅有两款防毒引擎将其视为有害。