
電信運(yùn)營(yíng)商在黑客間諜活動(dòng)中成為攻擊目標(biāo)
研究人員發(fā)現(xiàn)了一種新的針對(duì)中東和亞洲電信和 IT 服務(wù)提供商的間諜黑客活動(dòng)。
這項(xiàng)攻擊活動(dòng)已經(jīng)進(jìn)行了六個(gè)月,操作者似乎與伊朗支持的攻擊者 MERCURY (又名 MuddyWater,SeedWorm,或 TEMP.Zagros)有關(guān)。
這份報(bào)告來(lái)自 Symantec 的威脅獵手團(tuán)隊(duì),他們收集了以色列、約旦、科威特、沙特阿拉伯、阿拉伯聯(lián)合酋長(zhǎng)國(guó)、巴基斯坦、泰國(guó)和老撾最近發(fā)生的襲擊事件的證據(jù)和工具樣本。
瞄準(zhǔn) Exchange 服務(wù)器
攻擊者似乎對(duì)易受攻擊的 Exchange 服務(wù)器最感興趣,他們將這些服務(wù)器用于 web shell 部署。
在最初的入侵之后,他們盜取帳戶憑證并在企業(yè)網(wǎng)絡(luò)中橫向移動(dòng)。在某些情況下,他們利用自己的立足點(diǎn)轉(zhuǎn)向其他關(guān)聯(lián)組織。盡管感染源不明,Symantec還是找到了一個(gè)名為“ Special discount program.ZIP”的 ZIP 文件,其中包含一個(gè)遠(yuǎn)程桌面軟件應(yīng)用程序的安裝程序。
因此,攻擊者可能正在向特定目標(biāo)發(fā)送魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)郵件。
工具和方法
攻擊者開(kāi)始行動(dòng)的第一個(gè)跡象通常是創(chuàng)建一個(gè) Windows 服務(wù),以啟動(dòng)一個(gè) Windows 腳本文件(WSF) ,對(duì)網(wǎng)絡(luò)進(jìn)行偵察。
接下來(lái),PowerShell 用于下載更多 WSFs,Certutil 用于下載隧道工具和運(yùn)行 WMI 查詢。
”根據(jù)進(jìn)程沿襲數(shù)據(jù),攻擊者似乎廣泛使用腳本。這些可能是用于收集信息和下載其他工具的自動(dòng)腳本?!盨ymantec的報(bào)告解釋說(shuō)。
“然而,在一個(gè)案例中,一個(gè)命令向 cURL 求助,這表明攻擊者至少有一些動(dòng)手操作鍵盤(pán)的行為?!?/p>
在目標(biāo)組織中建立了他們的存在,攻擊者使用了 eHorus 遠(yuǎn)程訪問(wèn)工具,這使他們能夠做到以下幾點(diǎn):
1. 運(yùn)送及(可能)運(yùn)行本地安全認(rèn)證子系統(tǒng)服務(wù)傾倒工具。
2. 提供(據(jù)信是) Ligolo 隧道工具。
3. 執(zhí)行 Certutil 來(lái)請(qǐng)求其他目標(biāo)組織的 exchangeweb 服務(wù)(EWS)的 URL。
為了轉(zhuǎn)向其他電信公司,攻擊者尋找潛在的 Exchange Web 服務(wù)鏈接,并為此使用以下命令:
Exe-urlcache-split [ DASH ] f hxxps://[ REDACTED ]/ews/exchange [ . ] asmx
Exe-urlcache-split [ DASH ] f hxxps://webmail. [ REDACTED ][ . ] com/ews
下面是攻擊者使用的工具集的完整列表:
- ScreenConnect: 合法的遠(yuǎn)程管理工具
- RemoteUtilities: 合法的遠(yuǎn)程管理工具
- eHorus: 合法的遠(yuǎn)程管理工具
- Ligolo: 反向隧道工具
- Hidec:命令行工具,用于運(yùn)行隱藏窗
- Nping: 包生成工具
- LSASS Dumper: 從本地安全認(rèn)證子系統(tǒng)服務(wù)進(jìn)程中轉(zhuǎn)儲(chǔ)憑證的工具
- SharpChisel: 隧道工具
- Password Dumper
- CrackMapExec: 公開(kāi)可用的工具,用于自動(dòng)化 Active Directory 環(huán)境的安全評(píng)估
- ProcDump: 微軟 Sysinternals 工具,用于監(jiān)視應(yīng)用程序的 CPU 峰值和生成崩潰轉(zhuǎn)儲(chǔ),但也可以用作一般的進(jìn)程轉(zhuǎn)儲(chǔ)工具
- SOCKS5代理服務(wù)器: 隧道工具
- 鍵盤(pán)記錄器: 檢索瀏覽器憑據(jù)
- Mimikatz: 公開(kāi)的證書(shū)轉(zhuǎn)儲(chǔ)工具
大多數(shù)這些工具是安全進(jìn)攻隊(duì)通常使用的公開(kāi)可用工具,因此在組織中它們可能不會(huì)引發(fā)警報(bào)。
鏈接至?MuddyWater
盡管來(lái)源并不確定,Symantec記錄了兩個(gè) IP 地址,這兩個(gè)地址與之前?MuddyWater 攻擊中使用的基礎(chǔ)設(shè)施相同。
此外,這個(gè)工具集還與Trend Micro的研究人員報(bào)告的2021年3月的攻擊有幾個(gè)相似之處。
盡管如此,許多伊朗政府支持的攻擊者使用現(xiàn)有的公開(kāi)工具,并定期更換基礎(chǔ)設(shè)施,因此,目前還無(wú)法確定真正的幕后黑客。
?
消息來(lái)源:BleepingComputer,譯者:Zoeppo;
本文由 HackerNews.cc 翻譯整理,封面來(lái)源于網(wǎng)絡(luò);
[超站]友情鏈接:
四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全,洞悉企業(yè)級(jí)服務(wù)市場(chǎng):https://www.ijiandao.com/

隨時(shí)掌握互聯(lián)網(wǎng)精彩
- 1 重農(nóng)固本是安民之基、治國(guó)之要 7904548
- 2 樺加沙強(qiáng)度接近地球上限?回應(yīng)來(lái)了 7808918
- 3 廣東部分商超被搬空 只有辣椒被剩下 7713823
- 4 和古人一起沉浸式收割曬谷 7617639
- 5 “晚1秒就撞 我肯定不慣著他” 7524022
- 6 沈陽(yáng)一室內(nèi)動(dòng)物園動(dòng)物神情呆滯 7426677
- 7 護(hù)網(wǎng):社交賬號(hào)不受控制?木馬在作祟 7329914
- 8 亡妻遺物現(xiàn)存折 老人起訴要錢被駁回 7238208
- 9 全球最強(qiáng)臺(tái)風(fēng)明日登陸廣東 7143472
- 10 盧卡申科:波蘭這么做對(duì)中國(guó)不友好 7039328