电信运营商正在成为网络攻击活动的目标(附工具列表)

安全
截止到目前,网络攻击已经持续了六个月之久,背后有伊朗国家支持的黑客组织MERCURY就是其中幕后黑手之一。

近日,赛门铁克Threat Hunter团队发布安全报告称,有不法组织正在对中东和亚洲地区电信运营商和IT服务商发起网络攻击。

截止到目前,此类攻击已经持续了六个月之久,背后有伊朗国家支持的黑客组织MERCURY(又名 MuddyWater、SeedWorm或 TEMP.Zagros)就是其中幕后黑手之一。

在这份安全中,赛门铁克Threat Hunter团队收集了诸多样本和数据,包括最近发生在以色列、约旦、科威特、沙特阿拉伯、阿拉伯联合酋长国、巴基斯坦、泰国和老挝等国家的网络攻击事件中,黑客所使用的工具以及一些固定下来的证据。

[[440606]]

Exchange 服务器成首要目标

在这起长期的网络攻击活动中,易受攻击的 Exchange 服务器成为攻击者的首要目标,其目的是在拿下Exchange 服务器后,更方便他们部署web shell。

一旦攻击成功,他们会通过窃取的账户凭证在系统内部横向移动,在某些情况下,还可以借此感染其他相关组织和企业。

尽管目前尚不清楚恶意软件感染、传播媒介具体是什么,但是赛门铁克还是找到了一个名为“Special discount program.zip”的ZIP文件,其中包含远程桌面软件应用程序的安装程序。因此,赛门铁克猜测,攻击者可能会向特定目标分发鱼叉式网络钓鱼电子邮件。

工具和方法

赛门铁克Threat Hunter团队指出,在这类活动中,攻击者通常的做法是创建一个Windows 服务以启动 Windows 脚本文件 (WSF),而该文件会在网络上执行侦察活动。

随后,攻击者会通过PowerShell 来下载更多WSF,而Certutil则是为了来下载隧道工具和运行WMI查询。

“从现有的调查数据来看,攻击者在攻击活动中似乎广泛使用脚本,且基本都是用于信息收集或下载其他工具的自动化脚本。”赛门铁克Threat Hunter团队表示,“当然,在一些个例中,我们也发现攻击者使用了手动键盘攻击(攻击者停止使用脚本攻击,手动登录已经感染的系统执行手动命令),比如cURL命令请求。”

当攻击者真正在目标组织中建立存在后,他们会使用 eHorus 远程访问工具,方便进行下一步操作,包括:

  • 交付并运行本地安全管理局子系统服务(LSASS)倾销工具;
  • 交付Ligolo隧道挖掘工具;
  • 执行Certutil,从其他目标组织交换Web服务(EWS)请求一个URL。

为了进一步感染其他电信公司,参与者寻找潜在的 Exchange Web 服务链接并为此使用以下命令:

  1. certutil.exe -urlcache –split [DASH]f hxxps://[REDACTED]/ews/exchange[.]asmx 
  2. certutil.exe -urlcache -split [DASH]f hxxps://webmail.[REDACTED][.]com/ews 

下面给出了特定参与者使用的工具集的完整列表:

  • ScreenConnect:合法的远程管理工具;
  • RemoteUtilities:合法的远程管理工具;
  • eHorus:合法的远程管理工具;
  • Ligolo:反向隧道工具;
  • Hidec:用于运行隐藏窗口的命令行工具;
  • Nping:数据包生成工具;
  • LSASS Dumper:从本地安全机构子系统服务 (LSASS) 进程转储凭据的工具;
  • SharpChisel:隧道工具;
  • CrackMapExec:公开可用的工具,用于自动对 Active Directory 环境进行安全评估;
  • ProcDump:Microsoft Sysinternals 工具,用于监控应用程序的 CPU 峰值并生成故障转储;SOCKS5 代理服务器:隧道工具;
  • 键盘记录器:检索浏览器凭据;
  • Mimikatz:公开可用的凭证转储工具。

注:由于这些工具本身就是安全团队常用的公开工具,因此他们往往不会触发系统警报。

攻击活动和MuddyWater有关联

尽管目前尚不清楚攻击活动恶意软件的具体信息,但是赛门铁克Threat Hunter团队发现有两个IP地址与旧的MuddyWater攻击中使用的基础设施重叠。

此外,此次攻击活动中的所使用的工具集和安全研究人员报告的2021年3月份的攻击有一定的相似之处,因此赛门铁克Threat Hunter团队此次活动有MuddyWater的身影。

但目前依旧无法确定其最终归属,这是因为伊朗国家支持的很多攻击组织使用公开的工具,并且会定期更换基础设施,导致官方很难确定其归属。

参考来源:

https://www.bleepingcomputer.com/news/security/telecom-operators-targeted-in-recent-espionage-hacking-campaign/

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2014-02-09 15:04:05

虚拟电信运营商

2010-05-13 16:19:14

电信云计算

2010-06-24 13:21:23

云计算物联网运营商

2013-04-26 09:40:53

SDN运营商去电信化

2018-03-13 06:45:20

2015-05-07 11:00:49

电信运营商大数据

2024-01-05 19:45:25

2010-08-23 11:08:56

电信运营商云计算

2017-08-16 20:26:19

OTT网络效应监管

2010-07-01 16:14:34

云计算运营商

2019-03-28 12:29:11

运营商竞争同质化

2015-05-07 11:05:44

电信运营商WiFi通信

2012-02-17 14:06:54

MySQL

2014-03-07 09:23:29

运营商云计算

2014-03-07 09:20:42

电信运营商云计算

2011-12-26 17:36:05

2014-02-19 10:18:45

虚拟运营商

2011-12-26 14:44:21

2011-06-29 09:23:07

LTE手机LTE3G

2011-08-18 17:26:00

OrangeApplication手机应用商店
点赞
收藏

51CTO技术栈公众号