邁克菲近日發現新一輪針對美國或英語國家的企業和機構的黑客攻擊，重點目標是核能、國防機構、能源及金融企業在內的關鍵基礎設施，背后黑手可能是朝鮮。

這波自11月起開始活躍的攻擊行動被邁克菲命名為“神槍手(Sharpshooter)”，目前看來主要是進行偵察和從被感染主機上獲取敏感信息。邁克菲并未提及與基礎設施破壞相關的行為。

與大多數組織良好的網絡襲擊類似，“神槍手”行動也是向目標公司關鍵人物發送針對性網絡釣魚郵件。本案例中，攻擊者偽裝成招聘機構向目標人物發送尋求英語應聘者的電子郵件。

釣魚郵件里包含有帶毒Word文檔(研究人員指出用于編制這些文檔的Word軟件是韓語版的)，被打開后會在目標系統上安裝第一個惡意軟件：會回連控制服務器的內存模塊。

一旦連上控制服務器，被感染主機就會下載并執行第二階段的惡意軟件載荷—— Rising Sun。該惡意軟件是攻擊行動的主力工具，負責監視網絡行為并收集被感染主機上的信息，然后加密發送回控制服務器。

邁克菲指出，該攻擊所用惡意軟件載荷大量借用了朝鮮黑客組織Lazarus的源代碼。而Lazarus向來以攻擊基礎設施和金融機構而聞名。

然而，這并不意味著背后黑手就是Lazarus。事實上，邁克菲認為，這種代碼上的聯系極有可能是故布疑陣。

邁克菲解釋道：

"‘神槍手’行動與Lazarus組織的大量技術聯系看起來太過明顯了，倉促下結論稱就是Lazarus干的顯然不合適，這種聯系反而說明了誤報的可能性。"

其他團體或政府借鑒Lazarus源代碼的情況不是沒有。今年早些時候，研究人員就揭示了美國政府自己的攻擊工具是怎么被拆解再重新打包用于對付新目標的。

因此，邁克菲稱，截至目前尚無法做出有關這波攻擊幕后黑手的任何猜測。

邁克菲實驗室的報告：https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/operation-sharpshooter-targets-global-defense-critical-infrastructure/