选择你喜欢的标签
我们会为你匹配适合你的网址导航

    确认 跳过

    跳过将删除所有初始化信息

    您的位置:0XUCN > 资讯 > 安全
    新闻分类

    电信运营商在黑客间谍活动中成为攻击目标

    安全 PRO 稿源:Hackernews 2021-12-15 13:47


    研究人员发现了一种新的针对中东和亚洲电信和 IT 服务提供商的间谍黑客活动。

    这项攻击活动已经进行了六个月,操作者似乎与伊朗支持的攻击者 MERCURY (又名 MuddyWater,SeedWorm,或 TEMP.Zagros)有关。

    这份报告来自 Symantec 的威胁猎手团队,他们收集了以色列、约旦、科威特、沙特阿拉伯、阿拉伯联合酋长国、巴基斯坦、泰国和老挝最近发生的袭击事件的证据和工具样本。

    瞄准 Exchange 服务器

    攻击者似乎对易受攻击的 Exchange 服务器最感兴趣,他们将这些服务器用于 web shell 部署。

    在最初的入侵之后,他们盗取帐户凭证并在企业网络中横向移动。在某些情况下,他们利用自己的立足点转向其他关联组织。尽管感染源不明,Symantec还是找到了一个名为“ Special discount program.ZIP”的 ZIP 文件,其中包含一个远程桌面软件应用程序的安装程序。

    因此,攻击者可能正在向特定目标发送鱼叉式网络钓鱼邮件。

    工具和方法

    攻击者开始行动的第一个迹象通常是创建一个 Windows 服务,以启动一个 Windows 脚本文件(WSF) ,对网络进行侦察。

    接下来,PowerShell 用于下载更多 WSFs,Certutil 用于下载隧道工具和运行 WMI 查询。

    ”根据进程沿袭数据,攻击者似乎广泛使用脚本。这些可能是用于收集信息和下载其他工具的自动脚本。”Symantec的报告解释说。

    “然而,在一个案例中,一个命令向 cURL 求助,这表明攻击者至少有一些动手操作键盘的行为。”

    在目标组织中建立了他们的存在,攻击者使用了 eHorus 远程访问工具,这使他们能够做到以下几点:

    1. 运送及(可能)运行本地安全认证子系统服务倾倒工具。

    2. 提供(据信是) Ligolo 隧道工具。

    3. 执行 Certutil 来请求其他目标组织的 exchangeweb 服务(EWS)的 URL。

    为了转向其他电信公司,攻击者寻找潜在的 Exchange Web 服务链接,并为此使用以下命令:

    Exe-urlcache-split [ DASH ] f hxxps://[ REDACTED ]/ews/exchange [ . ] asmx
    Exe-urlcache-split [ DASH ] f hxxps://webmail. [ REDACTED ][ . ] com/ews

    下面是攻击者使用的工具集的完整列表:

    • ScreenConnect: 合法的远程管理工具
    • RemoteUtilities: 合法的远程管理工具
    • eHorus: 合法的远程管理工具
    • Ligolo: 反向隧道工具
    • Hidec:命令行工具,用于运行隐藏窗
    • Nping: 包生成工具
    • LSASS Dumper: 从本地安全认证子系统服务进程中转储凭证的工具
    • SharpChisel: 隧道工具
    • Password Dumper
    • CrackMapExec: 公开可用的工具,用于自动化 Active Directory 环境的安全评估
    • ProcDump: 微软 Sysinternals 工具,用于监视应用程序的 CPU 峰值和生成崩溃转储,但也可以用作一般的进程转储工具
    • SOCKS5代理服务器: 隧道工具
    • 键盘记录器: 检索浏览器凭据
    • Mimikatz: 公开的证书转储工具

    大多数这些工具是安全进攻队通常使用的公开可用工具,因此在组织中它们可能不会引发警报。

    链接至 MuddyWater

    尽管来源并不确定,Symantec记录了两个 IP 地址,这两个地址与之前 MuddyWater 攻击中使用的基础设施相同。

    此外,这个工具集还与Trend Micro的研究人员报告的2021年3月的攻击有几个相似之处。

    尽管如此,许多伊朗政府支持的攻击者使用现有的公开工具,并定期更换基础设施,因此,目前还无法确定真正的幕后黑客。

     

    消息来源:BleepingComputer,译者:Zoeppo;

    本文由 HackerNews.cc 翻译整理,封面来源于网络;

    0XU.CN

    [超站]友情链接:

    四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
    关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/

    图库
    公众号 关注网络尖刀微信公众号
    随时掌握互联网精彩
    赞助链接