研究人员发现了一种新的针对中东和亚洲电信和 IT 服务提供商的间谍黑客活动。

这项攻击活动已经进行了六个月，操作者似乎与伊朗支持的攻击者 MERCURY (又名 MuddyWater，SeedWorm，或 TEMP.Zagros)有关。

这份报告来自 Symantec 的威胁猎手团队，他们收集了以色列、约旦、科威特、沙特阿拉伯、阿拉伯联合酋长国、巴基斯坦、泰国和老挝最近发生的袭击事件的证据和工具样本。

瞄准 Exchange 服务器

攻击者似乎对易受攻击的 Exchange 服务器最感兴趣，他们将这些服务器用于 web shell 部署。

在最初的入侵之后，他们盗取帐户凭证并在企业网络中横向移动。在某些情况下，他们利用自己的立足点转向其他关联组织。尽管感染源不明，Symantec还是找到了一个名为“ Special discount program.ZIP”的 ZIP 文件，其中包含一个远程桌面软件应用程序的安装程序。

因此，攻击者可能正在向特定目标发送鱼叉式网络钓鱼邮件。

工具和方法

攻击者开始行动的第一个迹象通常是创建一个 Windows 服务，以启动一个 Windows 脚本文件(WSF) ，对网络进行侦察。

接下来，PowerShell 用于下载更多 WSFs，Certutil 用于下载隧道工具和运行 WMI 查询。

”根据进程沿袭数据，攻击者似乎广泛使用脚本。这些可能是用于收集信息和下载其他工具的自动脚本。”Symantec的报告解释说。

“然而，在一个案例中，一个命令向 cURL 求助，这表明攻击者至少有一些动手操作键盘的行为。”

在目标组织中建立了他们的存在，攻击者使用了 eHorus 远程访问工具，这使他们能够做到以下几点:

1. 运送及(可能)运行本地安全认证子系统服务倾倒工具。

2. 提供(据信是) Ligolo 隧道工具。

3. 执行 Certutil 来请求其他目标组织的 exchangeweb 服务(EWS)的 URL。

为了转向其他电信公司，攻击者寻找潜在的 Exchange Web 服务链接，并为此使用以下命令:

Exe-urlcache-split [ DASH ] f hxxps://[ REDACTED ]/ews/exchange [ . ] asmx

Exe-urlcache-split [ DASH ] f hxxps://webmail. [ REDACTED ][ . ] com/ews

下面是攻击者使用的工具集的完整列表:

• ScreenConnect: 合法的远程管理工具
• RemoteUtilities: 合法的远程管理工具
• eHorus: 合法的远程管理工具
• Ligolo: 反向隧道工具
• Hidec：命令行工具，用于运行隐藏窗
• Nping: 包生成工具
• LSASS Dumper: 从本地安全认证子系统服务进程中转储凭证的工具
• SharpChisel: 隧道工具
• Password Dumper
• CrackMapExec: 公开可用的工具，用于自动化 Active Directory 环境的安全评估
• ProcDump: 微软 Sysinternals 工具，用于监视应用程序的 CPU 峰值和生成崩溃转储，但也可以用作一般的进程转储工具
• SOCKS5代理服务器: 隧道工具
• 键盘记录器: 检索浏览器凭据
• Mimikatz: 公开的证书转储工具

大多数这些工具是安全进攻队通常使用的公开可用工具，因此在组织中它们可能不会引发警报。

链接至 MuddyWater

尽管来源并不确定，Symantec记录了两个 IP 地址，这两个地址与之前  MuddyWater 攻击中使用的基础设施相同。

此外，这个工具集还与Trend Micro的研究人员报告的2021年3月的攻击有几个相似之处。

尽管如此，许多伊朗政府支持的攻击者使用现有的公开工具，并定期更换基础设施，因此，目前还无法确定真正的幕后黑客。