标签: 网络间谍组织

据称与伊朗相关的 APT 组织 RASPITE 瞄准美国电力公司

据外媒 Securityaffairs 报道,工业网络安全公司 Dragos 研究人员报告称,在伊朗境外运营的一个被称为 RASPITE 的网络间谍组织(又名Leafminer),一直以来瞄准美国、欧洲、中东和东亚的设施。该组织至少从 2017 年开始活跃,研究人员发现了其针对中东政府和其他类型组织的攻击活动。 上周,赛门铁克的研究人员根据对 Leafminer  组织的追踪,发布了一份关于网络间谍团队活动的详细报告,研究人员称该组织攻击活动的范围可能更广,他们发现了一份用伊朗波斯语编写的包含809个攻击目标的列表,列表按照其对地区和工业的兴趣对每个条目进行了分组,目标包括阿联酋、卡塔尔、巴林、埃及和阿富汗。这些目标的系统已被攻击者扫描。 现在 Dragos 研究人员证实了正是 RASPITE 一直瞄准攻击工业控制系统,黑客还访问了美国电力部门的业务。 黑客利用受到破坏的网站进行水坑攻击,为潜在的受害者提供感兴趣的内容。RASPITE 的攻击看起来类似于像 DYMALLOY 和 ALLANITE 的攻击,黑客通过注入网站链接以提示SMB连接,收集 Windows 凭据。然后,攻击者部署脚本来安装连接到 C&C 广告的恶意软件,然后让攻击者控制受感染的计算机。 根据Dragos的说法,即使 RASPITE 主要针对 ICS 系统,但也没有关于此类设备遭受破坏性攻击的消息。 迄今为止,RASPITE 的活动主要集中在电力部门的初始访问,虽然目标是电力设施,但目前没有迹象表明该组织具有破坏性的 ICS 攻击能力,包括像乌克兰那样的大规模停电。   消息来源:Securityaffairs,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客利用 “InPage” 办公软件 0-day 针对亚洲金融和政府机构

据外媒报道,卡巴斯基实验室研究人员发现有组织利用 InPage 办公软件的 0-day 漏洞对亚洲金融和政府机构进行间谍活动。 InPage 是被亚洲地区广泛使用的一种文本处理和页面布局工具。它支持乌尔都语、波斯语、普什图语和阿拉伯语。用户群体包括学院、图书馆、政府组织、媒体公司。 InPage 基于 Microsoft 复合文件格式形成了自己专有的文件格式。攻击者使用具有 InPage(.inp)扩展名结尾的特殊文件,该文件中被嵌入恶意 shellcode 代码并可在多个 InPage 版本内触发。恶意代码可以自解密并执行 EXE文件。软件主模块“ inpage.exe ”在解析某些字段时存在漏洞,攻击者可设置特殊内容触发漏洞、控制指令流程并执行代码。 研究人员已经发现黑客利用 InPage 0-day 漏洞,针对亚洲和非洲的金融和政府机构安装后门和键盘记录器等间谍软件,具体国家有缅甸、斯里兰卡和乌干达。 稿源:本站翻译整理,封面来源:百度搜索

谷歌向众记者、诺贝尔奖学者发送警告:你已被“国家级”黑客盯上

众多记者和学者向公众媒体报道,他们已经收到谷歌发送的警告信息,有受国家支持的黑客使用他们的谷歌帐户登录谷歌邮箱或其他网站。收到警告消息的人包括诺贝尔经济学奖得主、纽约时报专栏作家 Paul Krugman,纽约杂志的 Jonathan Chait,GQ 记者 Keith Olbermann 等等。 此外,谷歌发言人称,这些警告消息发生的实际时间在 1 个月前。为了防止黑客分析出研究人员用来检测入侵的方法,官方有意延迟了告警时间。 稿源:本站翻译整理,封面来源:百度搜索

网络间谍 BLACKGEAR 针对台湾、日本活动,C&C 服务器具有高度隐蔽性

据趋势科技报道,BLACKGEAR 是一起针对台湾多年的网络间谍活动,最近该活动新添加了日本用户作为目标。该活动在 2012 年首次被发现,使用 ELIRKS 后门工具,采用博客和微博服务以掩盖其实际的命令和控制(C&C)服务器位置。这种技术允许攻击者通过博客实现命令通信、改变博客和微博实现快速更换 C&C 服务器,具有高度的隐蔽特性,此外,后门与 C&C 服务器之间的通信也被伪装成访问博客的正常流量。 趋势科技对其进行研究并得出结论: 1、用于感染用户的恶意文件已近在日本出现 2、C&C 服务器活动使用的是基于日本地区的博客网站和微博服务 稿源:本站翻译整理,封面来源:趋势科技博客

新网络间谍组织 FruityArmor 利用 Windows 零日漏洞针对多国政要

卡巴斯基专家发现一个新的网络间谍组织称为 FruityArmor APT 利用微软本月修补的零日漏洞,针对于政府机构相关的活动家、研究人员、个人。 10 月微软发布四个安全补丁,包括该组织利用的一个远程代码执行的零日漏洞 cve-2016-3393。受害者来自不同的国家,包括伊朗、阿尔及利亚、泰国、也门、沙特阿拉伯和瑞典。该组织使用微软 PowerShell 框架搭建的攻击平台,利用多个零日漏洞和浏览器漏洞,逃离浏览器沙箱、实现提权、执行代码。 稿源:本站翻译整理,封面来源:百度搜索