黄色网站入口国产美女,精品国产欧美另类一区,国产一区二区美女自慰,日日摸夜夜添无码国产

選擇你喜歡的標(biāo)簽
我們會(huì)為你匹配適合你的網(wǎng)址導(dǎo)航

    確認(rèn) 跳過(guò)

    跳過(guò)將刪除所有初始化信息

    您的位置:0XUCN > 資訊 > 安全
    新聞分類

    電信運(yùn)營(yíng)商在黑客間諜活動(dòng)中成為攻擊目標(biāo)

    安全 PRO 稿源:Hackernews 2021-12-15 13:47


    研究人員發(fā)現(xiàn)了一種新的針對(duì)中東和亞洲電信和 IT 服務(wù)提供商的間諜黑客活動(dòng)。

    這項(xiàng)攻擊活動(dòng)已經(jīng)進(jìn)行了六個(gè)月,操作者似乎與伊朗支持的攻擊者 MERCURY (又名 MuddyWater,SeedWorm,或 TEMP.Zagros)有關(guān)。

    這份報(bào)告來(lái)自 Symantec 的威脅獵手團(tuán)隊(duì),他們收集了以色列、約旦、科威特、沙特阿拉伯、阿拉伯聯(lián)合酋長(zhǎng)國(guó)、巴基斯坦、泰國(guó)和老撾最近發(fā)生的襲擊事件的證據(jù)和工具樣本。

    瞄準(zhǔn) Exchange 服務(wù)器

    攻擊者似乎對(duì)易受攻擊的 Exchange 服務(wù)器最感興趣,他們將這些服務(wù)器用于 web shell 部署。

    在最初的入侵之后,他們盜取帳戶憑證并在企業(yè)網(wǎng)絡(luò)中橫向移動(dòng)。在某些情況下,他們利用自己的立足點(diǎn)轉(zhuǎn)向其他關(guān)聯(lián)組織。盡管感染源不明,Symantec還是找到了一個(gè)名為“ Special discount program.ZIP”的 ZIP 文件,其中包含一個(gè)遠(yuǎn)程桌面軟件應(yīng)用程序的安裝程序。

    因此,攻擊者可能正在向特定目標(biāo)發(fā)送魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)郵件。

    工具和方法

    攻擊者開(kāi)始行動(dòng)的第一個(gè)跡象通常是創(chuàng)建一個(gè) Windows 服務(wù),以啟動(dòng)一個(gè) Windows 腳本文件(WSF) ,對(duì)網(wǎng)絡(luò)進(jìn)行偵察。

    接下來(lái),PowerShell 用于下載更多 WSFs,Certutil 用于下載隧道工具和運(yùn)行 WMI 查詢。

    ”根據(jù)進(jìn)程沿襲數(shù)據(jù),攻擊者似乎廣泛使用腳本。這些可能是用于收集信息和下載其他工具的自動(dòng)腳本?!盨ymantec的報(bào)告解釋說(shuō)。

    “然而,在一個(gè)案例中,一個(gè)命令向 cURL 求助,這表明攻擊者至少有一些動(dòng)手操作鍵盤(pán)的行為?!?/p>

    在目標(biāo)組織中建立了他們的存在,攻擊者使用了 eHorus 遠(yuǎn)程訪問(wèn)工具,這使他們能夠做到以下幾點(diǎn):

    1. 運(yùn)送及(可能)運(yùn)行本地安全認(rèn)證子系統(tǒng)服務(wù)傾倒工具。

    2. 提供(據(jù)信是) Ligolo 隧道工具。

    3. 執(zhí)行 Certutil 來(lái)請(qǐng)求其他目標(biāo)組織的 exchangeweb 服務(wù)(EWS)的 URL。

    為了轉(zhuǎn)向其他電信公司,攻擊者尋找潛在的 Exchange Web 服務(wù)鏈接,并為此使用以下命令:

    Exe-urlcache-split [ DASH ] f hxxps://[ REDACTED ]/ews/exchange [ . ] asmx
    Exe-urlcache-split [ DASH ] f hxxps://webmail. [ REDACTED ][ . ] com/ews

    下面是攻擊者使用的工具集的完整列表:

    • ScreenConnect: 合法的遠(yuǎn)程管理工具
    • RemoteUtilities: 合法的遠(yuǎn)程管理工具
    • eHorus: 合法的遠(yuǎn)程管理工具
    • Ligolo: 反向隧道工具
    • Hidec:命令行工具,用于運(yùn)行隱藏窗
    • Nping: 包生成工具
    • LSASS Dumper: 從本地安全認(rèn)證子系統(tǒng)服務(wù)進(jìn)程中轉(zhuǎn)儲(chǔ)憑證的工具
    • SharpChisel: 隧道工具
    • Password Dumper
    • CrackMapExec: 公開(kāi)可用的工具,用于自動(dòng)化 Active Directory 環(huán)境的安全評(píng)估
    • ProcDump: 微軟 Sysinternals 工具,用于監(jiān)視應(yīng)用程序的 CPU 峰值和生成崩潰轉(zhuǎn)儲(chǔ),但也可以用作一般的進(jìn)程轉(zhuǎn)儲(chǔ)工具
    • SOCKS5代理服務(wù)器: 隧道工具
    • 鍵盤(pán)記錄器: 檢索瀏覽器憑據(jù)
    • Mimikatz: 公開(kāi)的證書(shū)轉(zhuǎn)儲(chǔ)工具

    大多數(shù)這些工具是安全進(jìn)攻隊(duì)通常使用的公開(kāi)可用工具,因此在組織中它們可能不會(huì)引發(fā)警報(bào)。

    鏈接至?MuddyWater

    盡管來(lái)源并不確定,Symantec記錄了兩個(gè) IP 地址,這兩個(gè)地址與之前?MuddyWater 攻擊中使用的基礎(chǔ)設(shè)施相同。

    此外,這個(gè)工具集還與Trend Micro的研究人員報(bào)告的2021年3月的攻擊有幾個(gè)相似之處。

    盡管如此,許多伊朗政府支持的攻擊者使用現(xiàn)有的公開(kāi)工具,并定期更換基礎(chǔ)設(shè)施,因此,目前還無(wú)法確定真正的幕后黑客。

    ?

    消息來(lái)源:BleepingComputer,譯者:Zoeppo;

    本文由 HackerNews.cc 翻譯整理,封面來(lái)源于網(wǎng)絡(luò);

    0XU.CN

    [超站]友情鏈接:

    四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
    關(guān)注數(shù)據(jù)與安全,洞悉企業(yè)級(jí)服務(wù)市場(chǎng):https://www.ijiandao.com/

    圖庫(kù)
    公眾號(hào) 關(guān)注網(wǎng)絡(luò)尖刀微信公眾號(hào)
    隨時(shí)掌握互聯(lián)網(wǎng)精彩
    贊助鏈接