這是一場針對航空航天和國防部門的網絡間諜活動，目的是在受害者的機器上安裝數(shù)據(jù)收集植入程序，以進行監(jiān)視和數(shù)據(jù)過濾。

他們攻擊的目標是澳大利亞、以色列、俄羅斯的互聯(lián)網服務提供商（ISPs）以及俄羅斯和印度的國防承包商的IP地址。這些攻擊涉及一個之前未被發(fā)現(xiàn)的間諜軟件工具Torisma，它在暗中監(jiān)視并利用受害者。

McAfee研究人員在代號為“Operation North Star”的追蹤下，今年7月的初步調查結果顯示，有人利用社交媒體網站、魚叉式網絡釣魚以及帶有虛假招聘信息的攻擊性文件，誘騙國防部門的員工，并侵入他們的組織網絡。

這些攻擊被歸因于之前與“Hidden Cobra”有關的基礎設施和TTPs(技術、戰(zhàn)術和程序)?！癏idden Cobra”是美國政府用來描述所有朝鮮政府支持的黑客組織的總稱。

攻擊者對美國國防和航天承包商進行惡意攻擊，利用其核武庫中的攻擊者來支持和資助其核武器計劃。

雖然初步分析表明，植入程序的目的是收集受害者的基本信息，以評估其價值，但對“Operation North Star”的最新調查顯示出“一定程度的技術創(chuàng)新”——旨在隱藏在受損系統(tǒng)中。

該活動不僅使用了美國著名國防承包商網站上的合法招聘內容，誘使目標受害者打開惡意的魚叉式釣魚電子郵件附件，攻擊者還利用美國和意大利的正版網站——拍賣行、印刷公司，以及一家IT培訓公司（負責命令與控制（C2）能力）。

McAfee的研究人員Christiaan Beek和Ryan Sherstibitoff表示：“使用這些域來執(zhí)行C2操作可能會使他們繞過一些組織的安全措施，因為大多數(shù)組織不會阻止可信網站?！?/p>

此外，嵌入Word文檔中的第一階段的植入程序將繼續(xù)評估受害者系統(tǒng)數(shù)據(jù)（日期、IP地址、用戶代理等），方法是通過與預定的目標IP地址列表進行交叉檢查，以安裝第二個名為Torisma的植入程序，同時將檢測和發(fā)現(xiàn)的風險降到最低。

除了主動監(jiān)視添加到系統(tǒng)中的新驅動器以及遠程桌面連接之外，此監(jiān)視植入程序還用于執(zhí)行自定義shellcode。

研究人員說：“這項活動很有趣，因為攻擊者有一個特定的目標清單，在決定發(fā)送第二個植入程序（32位或64位）進行深入監(jiān)測之前，這個清單已經過驗證?！?/p>

“攻擊者監(jiān)視由C2發(fā)送的植入程序的進度，并將其寫入日志文件中，從而了解哪些受害者已被成功滲入并可以進行進一步監(jiān)控?！?/p>

消息來源：The Hacker News?；封面來自網絡；譯者：芋泥啵啵奶茶。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/