
朝鮮黑客利用 Torisma 間諜軟件進行攻擊
聲明:該文章由作者(婭米)發(fā)表,轉載此文章須經作者同意并請附上出處(0XUCN)及本頁鏈接。。
這是一場針對航空航天和國防部門的網絡間諜活動,目的是在受害者的機器上安裝數據收集植入程序,以進行監(jiān)視和數據過濾。
他們攻擊的目標是澳大利亞、以色列、俄羅斯的互聯網服務提供商(ISPs)以及俄羅斯和印度的國防承包商的IP地址。這些攻擊涉及一個之前未被發(fā)現的間諜軟件工具Torisma,它在暗中監(jiān)視并利用受害者。
McAfee研究人員在代號為“Operation North Star”的追蹤下,今年7月的初步調查結果顯示,有人利用社交媒體網站、魚叉式網絡釣魚以及帶有虛假招聘信息的攻擊性文件,誘騙國防部門的員工,并侵入他們的組織網絡。
這些攻擊被歸因于之前與“Hidden Cobra”有關的基礎設施和TTPs(技術、戰(zhàn)術和程序)?!癏idden Cobra”是美國政府用來描述所有朝鮮政府支持的黑客組織的總稱。
攻擊者對美國國防和航天承包商進行惡意攻擊,利用其核武庫中的攻擊者來支持和資助其核武器計劃。
雖然初步分析表明,植入程序的目的是收集受害者的基本信息,以評估其價值,但對“Operation North Star”的最新調查顯示出“一定程度的技術創(chuàng)新”——旨在隱藏在受損系統(tǒng)中。
該活動不僅使用了美國著名國防承包商網站上的合法招聘內容,誘使目標受害者打開惡意的魚叉式釣魚電子郵件附件,攻擊者還利用美國和意大利的正版網站——拍賣行、印刷公司,以及一家IT培訓公司(負責命令與控制(C2)能力)。
McAfee的研究人員Christiaan Beek和Ryan Sherstibitoff表示:“使用這些域來執(zhí)行C2操作可能會使他們繞過一些組織的安全措施,因為大多數組織不會阻止可信網站。”
此外,嵌入Word文檔中的第一階段的植入程序將繼續(xù)評估受害者系統(tǒng)數據(日期、IP地址、用戶代理等),方法是通過與預定的目標IP地址列表進行交叉檢查,以安裝第二個名為Torisma的植入程序,同時將檢測和發(fā)現的風險降到最低。
除了主動監(jiān)視添加到系統(tǒng)中的新驅動器以及遠程桌面連接之外,此監(jiān)視植入程序還用于執(zhí)行自定義shellcode。
研究人員說:“這項活動很有趣,因為攻擊者有一個特定的目標清單,在決定發(fā)送第二個植入程序(32位或64位)進行深入監(jiān)測之前,這個清單已經過驗證?!?/p>
“攻擊者監(jiān)視由C2發(fā)送的植入程序的進度,并將其寫入日志文件中,從而了解哪些受害者已被成功滲入并可以進行進一步監(jiān)控?!?/p>
消息來源:The Hacker News?;封面來自網絡;譯者:芋泥啵啵奶茶。
本文由?HackerNews.cc?翻譯整理。
[超站]友情鏈接:
四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
關注數據與安全,洞悉企業(yè)級服務市場:https://www.ijiandao.com/
- 1 情暖天山氣象新 7904655
- 2 殲-35完成在福建艦上彈射起飛 7809061
- 3 中國航母又一突破 7712382
- 4 國慶中秋臨近 文旅部發(fā)出游提示 7616984
- 5 港珠澳大橋主橋將封閉 7523775
- 6 萬豪酒店承認拖鞋循環(huán)多次使用 7425355
- 7 中方回應“金正恩稱絕不放棄核武” 7331828
- 8 福建艦電磁彈射宣傳片震撼發(fā)布 7234108
- 9 廣東或大范圍停工 7139262
- 10 背簍老人等公交被拒載 司機被開除 7045702