机甲露宝伊朗黑客组织“金龟子”新增的武器库和攻击目标清单-代码卫士

发布时间:2019年04月02日 阅读:73 次

伊朗黑客组织“金龟子”新增的武器库和攻击目标清单-代码卫士
聚焦源代码安全改尽江山旧,网罗国内外最新资讯乔弟海岸 !
翻译:360代码卫士团队
赛门铁克公司发布报告警告称青春守则,和伊朗存在关联的“金龟子(Chafer)”黑客组织一直在扩大其在中东和其它地方的攻击范围并扩充其网络武器库。
活跃于2014年,主要实施监控和追踪
去年,机甲露宝“金龟子”参与了一系列颇具野心的新型攻击。它攻击了中东地区大型电信公司并试图攻击一家大型的旅游预订企业。“金龟子”至少活跃于2014年7月,此前已有很多关于该组织的详情安乡偎麻雀。“金龟子”主要是监控并追踪个人。
2017年期间,“金龟子”使用了7款新工具、推出新的基础设施并增加对位于以色列、约旦、阿联酋、沙特阿拉伯和土耳其的9家组织机构的攻击。目标行业包括航空和海运行业的航空公司、飞机服务公司、软件和IT服务公司、电信公司、薪资服务公司、工程咨询公司和文件管理软件公司佳鑫诺官网。
“金龟子”还攻击了一家非洲航空公司并试图攻陷一家国际旅游预订公司。
去年,“金龟子”攻陷了一家位于中东地区的电信服务提供商,李建群该公司向该地区的多家电信运营商出售解决方案。这次攻击事件可能导致攻击者针对大量终端用户实施监控行为。
2015年,“金龟子”可能通过SQL注入攻击了多家组织机构的web服务器。去年,它还开始使用通过鱼叉式钓鱼邮件发送的恶意文档释放恶意软件阿浅来了。这些恶意文档是携带恶意VBS文件的EXCEL表单,这些恶意文件运行PowerShell脚本并执行受攻陷机器上的释放器。随后该释放器将安装信息窃取器、屏幕抓取工具以及一个空白的可执行文件彩缘网。
屏幕抓取工具仅在初始的信息收集阶段发挥作用,信息窃取工具针对的是剪贴板内容、抓取截屏、记录按键并存储文件和用户凭证。接着,攻击者会将其它工具下载到受感染计算机中并在受害者网络中进行横向移动。
新增攻击工具和基础设施,扩大攻击范围
近来鼢鼠,“金龟子”还新增使用7款新型工具。赛门铁克指出其中多数工具是可免费获取的现成工具并被用于恶意目的。这些工具包括:
Remcom:取代PsExec的开源工具;
NSSM (Non-sucking Service Manager):取代Windows Service Manager的开源工具;
一款自定义截屏和剪贴板抓取工具;
SMB黑客工具,包括“永恒之蓝”在内;
GNU HTTPTunnel:用于在Linux计算机上创建双向HTTP隧道的一款开源工具;
UltraVNC:适用于Windows的一款开源远程管理工具;
NBTScan:扫描IP网查找NetBIOS名称信息的一款免费工具婴灵恶泣 。
另外,“金龟子”还继续使用其它工具如自己研发的自定义后门Remexi、PsExec、Mimikatz、Pwdump和Plink。
“金龟子”结合使用这些工具的目的显然是遍历目标网络。NSSM近期用于实现攻击的可持续性并安装服务以运行Plink。Plink打开逆向SSH会话以获取对受攻陷计算机的RDP访问权限。之后,PsExec、Remcom和SMB黑客工具用于横向运动。
“金龟子”近期使用的新型基础设施包括将域名win7-updates[.]com作为命令和服务地址以及多个IP地址曾锦春,不过目前尚不清楚这些基础设施是租赁而来还是遭劫持徐宥利。研究人员从“金龟子”使用的服务器中找到了很多工具的副本。
和Oilrig组织是同一伙?
赛门铁克公司表示,“金龟子”的攻击活动和另外一个基于伊朗的网络间谍组织Oilrig之间存在某些关联。这两个组织都使用相同的IP地址作为命令和控制地址、使用了类似的感染向量,以及释放了指向同样拼写错误的文件地址的恶意VBS文件。
赛门铁克表示鞣尸,虽然这表明“金龟子”和Oilrig之间可能是同一个组织帝国霸略 ,但并无足够证据支撑这一结论。更有可能的一种解释是,“这两个组织认识彼此而且享有对同一个共享资源库的访问权限”。
“金龟子”目前开展的攻击活动表明,它不仅持续保持高度活跃格力犬论坛,而且在选择攻击目标方面变得越来越大胆。和其它针对性攻击组织一样,“金龟子”依靠免费可得的软件工具实施恶意活动,并转向耗时更长且更容易被发现的供应链攻击。
赛门铁克总结称,“这些攻击虽然更具风险,但回报更高宽带上网助手。而且如果攻击成功实施,攻击者将获得访问大量潜在目标的权限菜园子张青。”
关联阅读
伊朗黑客被指利用 TRITON 攻击沙特阿拉伯关键基础设施
伊朗黑客攻陷9000个英国政府邮箱账户,首相亦未能幸免
原文链接
https://www.securityweek.com/iran-linked-chafer-group-expands-toolset-targets-list
本文由360代码卫士编译,不代表360观点普定天气预报,转载请注明 “转自360代码卫士www.codesafe.cn”。
Tag:
相关文章