您现在的位置是：首页 > 文章详情

电信运营商正在成为网络攻击活动的目标（附工具列表）

日期：2021-12-15点击：236收藏

WOT全球技术创新大会2022，门票6折抢购中！购票立减2320元！

近日，赛门铁克Threat Hunter团队发布安全报告称，有不法组织正在对中东和亚洲地区电信运营商和IT服务商发起网络攻击。

截止到目前，此类攻击已经持续了六个月之久，背后有伊朗国家支持的黑客组织MERCURY(又名 MuddyWater、SeedWorm或 TEMP.Zagros)就是其中幕后黑手之一。

在这份安全中，赛门铁克Threat Hunter团队收集了诸多样本和数据，包括最近发生在以色列、约旦、科威特、沙特阿拉伯、阿拉伯联合酋长国、巴基斯坦、泰国和老挝等国家的网络攻击事件中，黑客所使用的工具以及一些固定下来的证据。

Exchange 服务器成首要目标

在这起长期的网络攻击活动中，易受攻击的 Exchange 服务器成为攻击者的首要目标，其目的是在拿下Exchange 服务器后，更方便他们部署web shell。

一旦攻击成功，他们会通过窃取的账户凭证在系统内部横向移动，在某些情况下，还可以借此感染其他相关组织和企业。

尽管目前尚不清楚恶意软件感染、传播媒介具体是什么，但是赛门铁克还是找到了一个名为“Special discount program.zip”的ZIP文件，其中包含远程桌面软件应用程序的安装程序。因此，赛门铁克猜测，攻击者可能会向特定目标分发鱼叉式网络钓鱼电子邮件。

工具和方法

赛门铁克Threat Hunter团队指出，在这类活动中，攻击者通常的做法是创建一个Windows 服务以启动 Windows 脚本文件 (WSF)，而该文件会在网络上执行侦察活动。

随后，攻击者会通过PowerShell 来下载更多WSF，而Certutil则是为了来下载隧道工具和运行WMI查询。

“从现有的调查数据来看，攻击者在攻击活动中似乎广泛使用脚本，且基本都是用于信息收集或下载其他工具的自动化脚本。”赛门铁克Threat Hunter团队表示，“当然，在一些个例中，我们也发现攻击者使用了手动键盘攻击(攻击者停止使用脚本攻击，手动登录已经感染的系统执行手动命令)，比如cURL命令请求。”

当攻击者真正在目标组织中建立存在后，他们会使用 eHorus 远程访问工具，方便进行下一步操作，包括：

交付并运行本地安全管理局子系统服务(LSASS)倾销工具;
交付Ligolo隧道挖掘工具;
执行Certutil，从其他目标组织交换Web服务(EWS)请求一个URL。

为了进一步感染其他电信公司，参与者寻找潜在的 Exchange Web 服务链接并为此使用以下命令：

  certutil.exe -urlcache –split [DASH]f hxxps://[REDACTED]/ews/exchange[.]asmx 
 certutil.exe -urlcache -split [DASH]f hxxps://webmail.[REDACTED][.]com/ews

下面给出了特定参与者使用的工具集的完整列表：