研究人員發(fā)現(xiàn)了一種新的針對(duì)中東和亞洲電信和 IT 服務(wù)提供商的間諜黑客活動(dòng)。

這項(xiàng)攻擊活動(dòng)已經(jīng)進(jìn)行了六個(gè)月，操作者似乎與伊朗支持的攻擊者 MERCURY (又名 MuddyWater，SeedWorm，或 TEMP.Zagros)有關(guān)。

這份報(bào)告來(lái)自 Symantec 的威脅獵手團(tuán)隊(duì)，他們收集了以色列、約旦、科威特、沙特阿拉伯、阿拉伯聯(lián)合酋長(zhǎng)國(guó)、巴基斯坦、泰國(guó)和老撾最近發(fā)生的襲擊事件的證據(jù)和工具樣本。

瞄準(zhǔn) Exchange 服務(wù)器

攻擊者似乎對(duì)易受攻擊的 Exchange 服務(wù)器最感興趣，他們將這些服務(wù)器用于 web shell 部署。

在最初的入侵之后，他們盜取帳戶憑證并在企業(yè)網(wǎng)絡(luò)中橫向移動(dòng)。在某些情況下，他們利用自己的立足點(diǎn)轉(zhuǎn)向其他關(guān)聯(lián)組織。盡管感染源不明，Symantec還是找到了一個(gè)名為“ Special discount program.ZIP”的 ZIP 文件，其中包含一個(gè)遠(yuǎn)程桌面軟件應(yīng)用程序的安裝程序。

因此，攻擊者可能正在向特定目標(biāo)發(fā)送魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)郵件。

工具和方法

攻擊者開(kāi)始行動(dòng)的第一個(gè)跡象通常是創(chuàng)建一個(gè) Windows 服務(wù)，以啟動(dòng)一個(gè) Windows 腳本文件(WSF) ，對(duì)網(wǎng)絡(luò)進(jìn)行偵察。

接下來(lái)，PowerShell 用于下載更多 WSFs，Certutil 用于下載隧道工具和運(yùn)行 WMI 查詢。

”根據(jù)進(jìn)程沿襲數(shù)據(jù)，攻擊者似乎廣泛使用腳本。這些可能是用于收集信息和下載其他工具的自動(dòng)腳本?！盨ymantec的報(bào)告解釋說(shuō)。

“然而，在一個(gè)案例中，一個(gè)命令向 cURL 求助，這表明攻擊者至少有一些動(dòng)手操作鍵盤(pán)的行為?！?/p>

在目標(biāo)組織中建立了他們的存在，攻擊者使用了 eHorus 遠(yuǎn)程訪問(wèn)工具，這使他們能夠做到以下幾點(diǎn):

1. 運(yùn)送及(可能)運(yùn)行本地安全認(rèn)證子系統(tǒng)服務(wù)傾倒工具。

2. 提供(據(jù)信是) Ligolo 隧道工具。

3. 執(zhí)行 Certutil 來(lái)請(qǐng)求其他目標(biāo)組織的 exchangeweb 服務(wù)(EWS)的 URL。

為了轉(zhuǎn)向其他電信公司，攻擊者尋找潛在的 Exchange Web 服務(wù)鏈接，并為此使用以下命令:

Exe-urlcache-split [ DASH ] f hxxps://[ REDACTED ]/ews/exchange [ . ] asmx

Exe-urlcache-split [ DASH ] f hxxps://webmail. [ REDACTED ][ . ] com/ews

下面是攻擊者使用的工具集的完整列表:

• ScreenConnect: 合法的遠(yuǎn)程管理工具
• RemoteUtilities: 合法的遠(yuǎn)程管理工具
• eHorus: 合法的遠(yuǎn)程管理工具
• Ligolo: 反向隧道工具
• Hidec：命令行工具，用于運(yùn)行隱藏窗
• Nping: 包生成工具
• LSASS Dumper: 從本地安全認(rèn)證子系統(tǒng)服務(wù)進(jìn)程中轉(zhuǎn)儲(chǔ)憑證的工具
• SharpChisel: 隧道工具
• Password Dumper
• CrackMapExec: 公開(kāi)可用的工具，用于自動(dòng)化 Active Directory 環(huán)境的安全評(píng)估
• ProcDump: 微軟 Sysinternals 工具，用于監(jiān)視應(yīng)用程序的 CPU 峰值和生成崩潰轉(zhuǎn)儲(chǔ)，但也可以用作一般的進(jìn)程轉(zhuǎn)儲(chǔ)工具
• SOCKS5代理服務(wù)器: 隧道工具
• 鍵盤(pán)記錄器: 檢索瀏覽器憑據(jù)
• Mimikatz: 公開(kāi)的證書(shū)轉(zhuǎn)儲(chǔ)工具

大多數(shù)這些工具是安全進(jìn)攻隊(duì)通常使用的公開(kāi)可用工具，因此在組織中它們可能不會(huì)引發(fā)警報(bào)。

鏈接至?MuddyWater

盡管來(lái)源并不確定，Symantec記錄了兩個(gè) IP 地址，這兩個(gè)地址與之前?MuddyWater 攻擊中使用的基礎(chǔ)設(shè)施相同。

此外，這個(gè)工具集還與Trend Micro的研究人員報(bào)告的2021年3月的攻擊有幾個(gè)相似之處。

盡管如此，許多伊朗政府支持的攻擊者使用現(xiàn)有的公開(kāi)工具，并定期更換基礎(chǔ)設(shè)施，因此，目前還無(wú)法確定真正的幕后黑客。

?

消息來(lái)源：BleepingComputer，譯者：Zoeppo；

本文由 HackerNews.cc 翻譯整理，封面來(lái)源于網(wǎng)絡(luò)；

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/