朝鲜黑客利用 Torisma 间谍软件进行攻击
这是一场针对航空航天和国防部门的网络间谍活动,目的是在受害者的机器上安装数据收集植入程序,以进行监视和数据过滤。
他们攻击的目标是澳大利亚、以色列、俄罗斯的互联网服务提供商(ISPs)以及俄罗斯和印度的国防承包商的IP地址。这些攻击涉及一个之前未被发现的间谍软件工具Torisma,它在暗中监视并利用受害者。
McAfee研究人员在代号为“Operation North Star”的追踪下,今年7月的初步调查结果显示,有人利用社交媒体网站、鱼叉式网络钓鱼以及带有虚假招聘信息的攻击性文件,诱骗国防部门的员工,并侵入他们的组织网络。
这些攻击被归因于之前与“Hidden Cobra”有关的基础设施和TTPs(技术、战术和程序)。“Hidden Cobra”是美国政府用来描述所有朝鲜政府支持的黑客组织的总称。
攻击者对美国国防和航天承包商进行恶意攻击,利用其核武库中的攻击者来支持和资助其核武器计划。
虽然初步分析表明,植入程序的目的是收集受害者的基本信息,以评估其价值,但对“Operation North Star”的最新调查显示出“一定程度的技术创新”——旨在隐藏在受损系统中。
该活动不仅使用了美国著名国防承包商网站上的合法招聘内容,诱使目标受害者打开恶意的鱼叉式钓鱼电子邮件附件,攻击者还利用美国和意大利的正版网站——拍卖行、印刷公司,以及一家IT培训公司(负责命令与控制(C2)能力)。
McAfee的研究人员Christiaan Beek和Ryan Sherstibitoff表示:“使用这些域来执行C2操作可能会使他们绕过一些组织的安全措施,因为大多数组织不会阻止可信网站。”
此外,嵌入Word文档中的第一阶段的植入程序将继续评估受害者系统数据(日期、IP地址、用户代理等),方法是通过与预定的目标IP地址列表进行交叉检查,以安装第二个名为Torisma的植入程序,同时将检测和发现的风险降到最低。
除了主动监视添加到系统中的新驱动器以及远程桌面连接之外,此监视植入程序还用于执行自定义shellcode。
研究人员说:“这项活动很有趣,因为攻击者有一个特定的目标清单,在决定发送第二个植入程序(32位或64位)进行深入监测之前,这个清单已经过验证。”
“攻击者监视由C2发送的植入程序的进度,并将其写入日志文件中,从而了解哪些受害者已被成功渗入并可以进行进一步监控。”
消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。
本文由 HackerNews.cc 翻译整理。
[超站]友情链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
随时掌握互联网精彩
- 1 “黄金搭档”的握手 7978533
- 2 拜登回应ICC对以总理发出逮捕令 7926934
- 3 李行亮道歉这段 7819984
- 4 志同道合的好朋友 7730205
- 5 女生被风筝线割喉组委会称签了免责 7666335
- 6 丫丫的脸逐渐向着正圆发展 7514228
- 7 一片好心没盖住于东来的爹味 7475278
- 8 杨子疑似失去所有的力气和手段 7338896
- 9 制片人晒王宝强转账记录 7287884
- 10 四组数据看10月份消费增长亮点 7155549