spyware

朝鲜黑客利用 Torisma 间谍软件进行攻击

  • 浏览次数 25780
  • 喜欢 0
  • 评分 12345

这是一场针对航空航天和国防部门的网络间谍活动,目的是在受害者的机器上安装数据收集植入程序,以进行监视和数据过滤。

他们攻击的目标是澳大利亚、以色列、俄罗斯的互联网服务提供商(ISPs)以及俄罗斯和印度的国防承包商的IP地址。这些攻击涉及一个之前未被发现的间谍软件工具Torisma,它在暗中监视并利用受害者。

McAfee研究人员在代号为“Operation North Star”的追踪下,今年7月的初步调查结果显示,有人利用社交媒体网站、鱼叉式网络钓鱼以及带有虚假招聘信息的攻击性文件,诱骗国防部门的员工,并侵入他们的组织网络。

这些攻击被归因于之前与“Hidden Cobra”有关的基础设施和TTPs(技术、战术和程序)。“Hidden Cobra”是美国政府用来描述所有朝鲜政府支持的黑客组织的总称。

攻击者对美国国防和航天承包商进行恶意攻击,利用其核武库中的攻击者来支持和资助其核武器计划。

Operation-North-Star

虽然初步分析表明,植入程序的目的是收集受害者的基本信息,以评估其价值,但对“Operation North Star”的最新调查显示出“一定程度的技术创新”——旨在隐藏在受损系统中。

该活动不仅使用了美国著名国防承包商网站上的合法招聘内容,诱使目标受害者打开恶意的鱼叉式钓鱼电子邮件附件,攻击者还利用美国和意大利的正版网站——拍卖行、印刷公司,以及一家IT培训公司(负责命令与控制(C2)能力)。

McAfee的研究人员Christiaan Beek和Ryan Sherstibitoff表示:“使用这些域来执行C2操作可能会使他们绕过一些组织的安全措施,因为大多数组织不会阻止可信网站。”

此外,嵌入Word文档中的第一阶段的植入程序将继续评估受害者系统数据(日期、IP地址、用户代理等),方法是通过与预定的目标IP地址列表进行交叉检查,以安装第二个名为Torisma的植入程序,同时将检测和发现的风险降到最低。

除了主动监视添加到系统中的新驱动器以及远程桌面连接之外,此监视植入程序还用于执行自定义shellcode。

研究人员说:“这项活动很有趣,因为攻击者有一个特定的目标清单,在决定发送第二个植入程序(32位或64位)进行深入监测之前,这个清单已经过验证。”

“攻击者监视由C2发送的植入程序的进度,并将其写入日志文件中,从而了解哪些受害者已被成功渗入并可以进行进一步监控。”

 

 

消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.cc ” 并附上原文链接。