Hackernews 编译,转载请注明出处:
研究人员发现了一种新的针对中东和亚洲电信和 IT 服务提供商的间谍黑客活动。
这项攻击活动已经进行了六个月,操作者似乎与伊朗支持的攻击者 MERCURY (又名 MuddyWater,SeedWorm,或 TEMP.Zagros)有关。
这份报告来自 Symantec 的威胁猎手团队,他们收集了以色列、约旦、科威特、沙特 *** 、 *** 联合酋长国、巴基斯坦、泰国和老挝最近发生的袭击事件的证据和工具样本。
瞄准 Exchange 服务器
攻击者似乎对易受攻击的 Exchange 服务器最感兴趣,他们将这些服务器用于 web shell 部署。
在最初的入侵之后,他们盗取帐户凭证并在企业 *** 中横向移动。在某些情况下,他们利用自己的立足点转向其他关联组织。尽管感染源不明,Symantec还是找到了一个名为“ Special discount program.ZIP”的 ZIP 文件,其中包含一个远程桌面软件应用程序的安装程序。
因此,攻击者可能正在向特定目标发送鱼叉式 *** 钓鱼邮件。
工具和 ***
攻击者开始行动的之一个迹象通常是创建一个 Windows 服务,以启动一个 Windows 脚本文件(WSF) ,对 *** 进行侦察。
接下来,PowerShell 用于下载更多 WSFs,Certutil 用于下载隧道工具和运行 WMI 查询。
”根据进程沿袭数据,攻击者似乎广泛使用脚本。这些可能是用于收集信息和下载其他工具的自动脚本。”Symantec的报告解释说。
“然而,在一个案例中,一个命令向 cURL 求助,这表明攻击者至少有一些动手操作键盘的行为。”
在目标组织中建立了他们的存在,攻击者使用了 eHorus 远程访问工具,这使他们能够做到以下几点:
1. 运送及(可能)运行本地安全认证子系统服务倾倒工具。
2. 提供(据信是) Ligolo 隧道工具。
3. 执行 Certutil 来请求其他目标组织的 exchangeweb 服务(EWS)的 URL。
为了转向其他电信公司,攻击者寻找潜在的 Exchange Web 服务链接,并为此使用以下命令:
Exe-urlcache-split [ DASH ] f hxxps://[ REDACTED ]/ews/exchange [ . ] a *** x
Exe-urlcache-split [ DASH ] f hxxps://webmail. [ REDACTED ][ . ] com/ews
下面是攻击者使用的工具集的完整列表:
大多数这些工具是安全进攻队通常使用的公开可用工具,因此在组织中它们可能不会引发警报。
链接至 MuddyWater
尽管来源并不确定,Symantec记录了两个 IP 地址,这两个地址与之前 MuddyWater 攻击中使用的基础设施相同。
此外,这个工具集还与Trend Micro的研究人员报告的2021年3月的攻击有几个相似之处。
尽管如此,许多伊朗 *** 支持的攻击者使用现有的公开工具,并定期更换基础设施,因此,目前还无法确定真正的幕后黑客。
消息来源:BleepingComputer,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于 *** ;
转载请注明“转自 HackerNews.cc ” 并附上原文链接
Hackernews 编译,转载请注明出处: 据观察,一个利益熏心的黑客正在部署一个全新的针对 Oracle Solaris 系统的 rootkit,目的是ATM机网络,并在不同银行使用伪造的卡进行未经授权的现金提款。 威胁情报和事件应急公司 Mandiant 正在追踪名为 UNC2891的组织,...
自 Windows 11 系统 2021 年 6 月发布以来,不断有各种活动欺骗用户下载恶意的 Windows 11 安装程序。虽然这种情况在过去一段时间里有所遏制,但现在又卷土重来,而且破坏力明显升级。 网络安全公司 CloudSEK 近日发现了一个新型恶意软件活动,看起来非常像是微软的官方网站...
根据Motherboard购买的几组数据,一家定位数据公司正在出售与访问提供堕胎服务的诊所有关的信息,包括计划生育设施,显示访问这些地点的人群来自哪里,他们在那里停留了多长时间,以及他们随后去了哪里。 在泄露的最高法院意见草案中, Alito法官表示,法院准备废除罗伊诉韦德案的裁决,该案是数十年来为...
据熟悉此事的人士透露,以色列阻止乌克兰购买NSO集团开发的飞马(Pegasus)间谍软件,因为其担心俄罗斯官员会因此而感到愤怒。在《卫报》和《华盛顿邮报》的联合调查之后,这一启示为以色列跟俄罗斯的关系有时会破坏乌克兰的进攻能力提供了新的见解–并跟美国的优先事项相矛盾。 自俄罗斯于2月24日对乌克兰...
BlackTech是一个网络间谍组织,在2018年前后对日本发起攻击活动。近日,研究人员发现了BlackTech可能使用的恶意软件Gh0stTimes。 研究人员在受Gh0stTimes感染的服务器上还发现了其他恶意软件,如下载器、后门程序、ELF Bifrose和攻击工具。这些工具可能会也被Bl...
公民实验室(Citizen Lab)的研究人员说,巴林人权活动家的iPhone今年早些时候被强大间谍软件悄悄入侵,打败了苹果公司为抵御秘密入侵而设计的新安全保护措施。这位仍在巴林并要求不透露姓名的活动人士是巴林人权中心的成员,该中心是一个获奖的非营利性组织,在海湾国家促进人权。 位于多伦多大学的互联...