热门搜索词

热门文章

关注知道创宇云防御

获取最新安全动态

电信运营商在黑客间谍活动中成为攻击目标

来源:HackerNews.cc 2021.12.15

ac27d92b906bd4150f74ab0ef77590f

研究人员发现了一种新的针对中东和亚洲电信和 IT 服务提供商的间谍黑客活动。

这项攻击活动已经进行了六个月,操作者似乎与伊朗支持的攻击者 MERCURY (又名 MuddyWater,SeedWorm,或 TEMP.Zagros)有关。

这份报告来自 Symantec 的威胁猎手团队,他们收集了以色列、约旦、科威特、沙特阿拉伯、阿拉伯联合酋长国、巴基斯坦、泰国和老挝最近发生的袭击事件的证据和工具样本。

瞄准 Exchange 服务器

攻击者似乎对易受攻击的 Exchange 服务器最感兴趣,他们将这些服务器用于 web shell 部署。

在最初的入侵之后,他们盗取帐户凭证并在企业网络中横向移动。在某些情况下,他们利用自己的立足点转向其他关联组织。尽管感染源不明,Symantec还是找到了一个名为“ Special discount program.ZIP”的 ZIP 文件,其中包含一个远程桌面软件应用程序的安装程序。

因此,攻击者可能正在向特定目标发送鱼叉式网络钓鱼邮件。

工具和方法

攻击者开始行动的第一个迹象通常是创建一个 Windows 服务,以启动一个 Windows 脚本文件(WSF) ,对网络进行侦察。

接下来,PowerShell 用于下载更多 WSFs,Certutil 用于下载隧道工具和运行 WMI 查询。

”根据进程沿袭数据,攻击者似乎广泛使用脚本。这些可能是用于收集信息和下载其他工具的自动脚本。”Symantec的报告解释说。

“然而,在一个案例中,一个命令向 cURL 求助,这表明攻击者至少有一些动手操作键盘的行为。”

在目标组织中建立了他们的存在,攻击者使用了 eHorus 远程访问工具,这使他们能够做到以下几点:

1. 运送及(可能)运行本地安全认证子系统服务倾倒工具。

2. 提供(据信是) Ligolo 隧道工具。

3. 执行 Certutil 来请求其他目标组织的 exchangeweb 服务(EWS)的 URL。

为了转向其他电信公司,攻击者寻找潜在的 Exchange Web 服务链接,并为此使用以下命令:

Exe-urlcache-split [ DASH ] f hxxps://[ REDACTED ]/ews/exchange [ . ] asmx

Exe-urlcache-split [ DASH ] f hxxps://webmail. [ REDACTED ][ . ] com/ews

下面是攻击者使用的工具集的完整列表:

  • ScreenConnect: 合法的远程管理工具
  • RemoteUtilities: 合法的远程管理工具
  • eHorus: 合法的远程管理工具
  • Ligolo: 反向隧道工具
  • Hidec:命令行工具,用于运行隐藏窗
  • Nping: 包生成工具
  • LSASS Dumper: 从本地安全认证子系统服务进程中转储凭证的工具
  • SharpChisel: 隧道工具
  • Password Dumper
  • CrackMapExec: 公开可用的工具,用于自动化 Active Directory 环境的安全评估
  • ProcDump: 微软 Sysinternals 工具,用于监视应用程序的 CPU 峰值和生成崩溃转储,但也可以用作一般的进程转储工具
  • SOCKS5代理服务器: 隧道工具
  • 键盘记录器: 检索浏览器凭据
  • Mimikatz: 公开的证书转储工具

大多数这些工具是安全进攻队通常使用的公开可用工具,因此在组织中它们可能不会引发警报。

链接至 MuddyWater

尽管来源并不确定,Symantec记录了两个 IP 地址,这两个地址与之前  MuddyWater 攻击中使用的基础设施相同。

此外,这个工具集还与Trend Micro的研究人员报告的2021年3月的攻击有几个相似之处。

尽管如此,许多伊朗政府支持的攻击者使用现有的公开工具,并定期更换基础设施,因此,目前还无法确定真正的幕后黑客。

售前支持

400-161-0866

联系企业微信客服