电信运营商正在成为网络攻击活动的目标(附工具列表)
WOT全球技术创新大会2022,门票6折抢购中!购票立减2320元!
近日,赛门铁克Threat Hunter团队发布安全报告称,有不法组织正在对中东和亚洲地区电信运营商和IT服务商发起网络攻击。
截止到目前,此类攻击已经持续了六个月之久,背后有伊朗国家支持的黑客组织MERCURY(又名 MuddyWater、SeedWorm或 TEMP.Zagros)就是其中幕后黑手之一。
在这份安全中,赛门铁克Threat Hunter团队收集了诸多样本和数据,包括最近发生在以色列、约旦、科威特、沙特阿拉伯、阿拉伯联合酋长国、巴基斯坦、泰国和老挝等国家的网络攻击事件中,黑客所使用的工具以及一些固定下来的证据。
Exchange 服务器成首要目标
在这起长期的网络攻击活动中,易受攻击的 Exchange 服务器成为攻击者的首要目标,其目的是在拿下Exchange 服务器后,更方便他们部署web shell。
一旦攻击成功,他们会通过窃取的账户凭证在系统内部横向移动,在某些情况下,还可以借此感染其他相关组织和企业。
尽管目前尚不清楚恶意软件感染、传播媒介具体是什么,但是赛门铁克还是找到了一个名为“Special discount program.zip”的ZIP文件,其中包含远程桌面软件应用程序的安装程序。因此,赛门铁克猜测,攻击者可能会向特定目标分发鱼叉式网络钓鱼电子邮件。
工具和方法
赛门铁克Threat Hunter团队指出,在这类活动中,攻击者通常的做法是创建一个Windows 服务以启动 Windows 脚本文件 (WSF),而该文件会在网络上执行侦察活动。
随后,攻击者会通过PowerShell 来下载更多WSF,而Certutil则是为了来下载隧道工具和运行WMI查询。
“从现有的调查数据来看,攻击者在攻击活动中似乎广泛使用脚本,且基本都是用于信息收集或下载其他工具的自动化脚本。”赛门铁克Threat Hunter团队表示,“当然,在一些个例中,我们也发现攻击者使用了手动键盘攻击(攻击者停止使用脚本攻击,手动登录已经感染的系统执行手动命令),比如cURL命令请求。”
当攻击者真正在目标组织中建立存在后,他们会使用 eHorus 远程访问工具,方便进行下一步操作,包括:
- 交付并运行本地安全管理局子系统服务(LSASS)倾销工具;
- 交付Ligolo隧道挖掘工具;
- 执行Certutil,从其他目标组织交换Web服务(EWS)请求一个URL。
为了进一步感染其他电信公司,参与者寻找潜在的 Exchange Web 服务链接并为此使用以下命令:
- certutil.exe -urlcache –split [DASH]f hxxps://[REDACTED]/ews/exchange[.]asmx
- certutil.exe -urlcache -split [DASH]f hxxps://webmail.[REDACTED][.]com/ews
下面给出了特定参与者使用的工具集的完整列表:
- ScreenConnect:合法的远程管理工具;
- RemoteUtilities:合法的远程管理工具;
- eHorus:合法的远程管理工具;
- Ligolo:反向隧道工具;
- Hidec:用于运行隐藏窗口的命令行工具;
- Nping:数据包生成工具;
- LSASS Dumper:从本地安全机构子系统服务 (LSASS) 进程转储凭据的工具;
- SharpChisel:隧道工具;
- CrackMapExec:公开可用的工具,用于自动对 Active Directory 环境进行安全评估;
- ProcDump:Microsoft Sysinternals 工具,用于监控应用程序的 CPU 峰值并生成故障转储;SOCKS5 代理服务器:隧道工具;
- 键盘记录器:检索浏览器凭据;
- Mimikatz:公开可用的凭证转储工具。
注:由于这些工具本身就是安全团队常用的公开工具,因此他们往往不会触发系统警报。
攻击活动和MuddyWater有关联
尽管目前尚不清楚攻击活动恶意软件的具体信息,但是赛门铁克Threat Hunter团队发现有两个IP地址与旧的MuddyWater攻击中使用的基础设施重叠。
此外,此次攻击活动中的所使用的工具集和安全研究人员报告的2021年3月份的攻击有一定的相似之处,因此赛门铁克Threat Hunter团队此次活动有MuddyWater的身影。
但目前依旧无法确定其最终归属,这是因为伊朗国家支持的很多攻击组织使用公开的工具,并且会定期更换基础设施,导致官方很难确定其归属。
参考来源:
https://www.bleepingcomputer.com/news/security/telecom-operators-targeted-in-recent-espionage-hacking-campaign/
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
2022年有关数据保护的零信任指南
WOT全球技术创新大会2022,门票6折抢购中!购票立减2320元! 近年来,发生的数据泄露事件变得越来越普遍。从2021年1月1日到2021年9月30日,全球各地发生了近1300起数据泄露事件,这和2020年全年相比高出近20%,而在此期间,由于很多人在家远程工作,数据泄露事件的破坏程序比以往任何时候都要严重。 网络攻击者为了获利,数据泄露事件将会继续增长。众所周知,新冠疫情导致了很多企业向远程工作的快速转变以及许多与业务相关的变化。持续蔓延的疫情和员工对传统工作环境的看法发生了普遍变化,这让很多企业放弃了让员工重返办公室的想法。这也产生了对数据保护的需求,企业需要采取新的举措应对,例如投资数据加密。 一些企业将这种现状视为战略性提高生产力的一个很好的方法。然而,即使一些企业对远程工作持乐观态度,他们仍然必须应对挑战。这对于避免可能损害业务的数据泄露是必要的。 目前企业面临的一个主要挑战是网络安全。更多的网络安全专业人员拥有大数据背景,能够解决这些问题。 企业需要确定策略来改进远程团队的安全协议和实践。例如针对远程员工的多因素身份验证(MFA)等特定策略,但这些特定方法需要适应更大、...
- 下一篇
美国国土安全部推出“黑客DHS”漏洞赏金计划
WOT全球技术创新大会2022,门票6折抢购中!购票立减2320元! 据The Record报道,美国国土安全部(DHS)当地时间周二宣布,该机构的负责人已经启动了一项漏洞赏金计划,允许黑客报告其系统中的漏洞,以换取金钱奖励。 美国国土安全部部长亚历杭德罗·马约卡斯(Alejandro Mayorkas)在出席彭博科技峰会时说:“我们不仅关注保护和加强私营部门和整个联邦政府的网络安全,当然,我们作为一个部门也必须以身作则。” 他补充说,这项被称为“黑客DHS”的工作将为每一个被发现的漏洞支付500到5000美元的黑客费用,“这取决于漏洞的严重程度”。 作为硅谷和私营部门的一个固定项目,漏洞赏金项目未能在华盛顿获得吸引力,直到国防部在2016年推出联邦政府的第一个项目。 “Hack the Pentagon”(入侵五角大楼)项目在该部门的一些网站上发现了近140个以前未发现的漏洞,并迅速被各军事部门效仿。 五角大楼的成功促使美国国会立法者试图在其他联邦机构(包括国务院)复制它。在美国前总统特朗普签署一项两党法案成为法律后,国土安全部于2019年建立了第一个漏洞赏金试点项目。 该法案的共同...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- CentOS7安装Docker,走上虚拟化容器引擎之路
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS8编译安装MySQL8.0.19
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- CentOS关闭SELinux安全模块