可用

针对亚洲政府的网络间谍活动已长达近两年之久

  • 浏览次数 18511
  • 喜欢 0
  • 评分 12345

自 2021 年初以来,一个网络间谍组织以多个亚洲国家的政府和国有组织为目标。

此前与 ShadowPad 远程访问木马 (RAT) 有关联的一组独特的间谍攻击者采用了一种新的、多样化的工具集,在许多亚洲国家发起了针对一系列针对政府和相关组织的持续活动。这些攻击至少从 2021 年初就开始了,它们的主要目标似乎是收集情报。该消息来自赛门铁克的威胁猎手团队,该团队昨天早些时候发布了有关威胁的新公告。

攻击者使用范围广泛的合法工具在针对与金融、航空航天和国防相关的政府机构以及国有媒体、IT 和电信公司的攻击中传递恶意软件。

攻击者使用动态链接库 (DLL) 侧载来传递恶意代码。该技术看到威胁行为者将恶意 DLL 放置在预期可以找到合法 DLL 的目录中。然后攻击者运行一个合法的应用程序来加载和执行恶意负载。针对缺乏针对 DLL 侧载攻击的缓解措施的旧版本和过时版本的安全解决方案、图形软件和 Web 浏览器。

一旦攻击者加载了恶意 DLL,就会执行恶意代码,进而加载 .dat 文件。该文件包含任意 shellcode,用于在内存中执行各种有效负载和相关命令。在某些情况下,任意 shellcode 都会被加密。

此外,攻击者还利用这些合法软件包部署额外的工具(凭证转储工具、网络扫描工具,如 NBTScan、TCPing、FastReverseProxy 和 FScan,以及 Ladon 渗透测试框架),用于执行横向移动。一旦攻击者建立后门访问权限,他们就会使用 Mimikatz 和 ProcDump 来获取凭据并获得对目标网络的更深层次的访问权限。在某些情况下,威胁参与者还通过注册表转储凭据。

专家还观察到攻击者使用 PsExec 运行旧版本的合法软件来加载现成的 RATS。

网络间谍还使用 Ntdsutil 等一些非本地工具来挂载 Active Directory 服务器的快照,以便访问 Active Directory 数据库和日志文件,并使用 Dnscmd 命令行工具来枚举网络区域信息。

专家们还分享了针对亚洲教育部门政府所有组织的攻击的详细信息。入侵从 2022 年 4 月持续到 2022 年 7 月,在此期间,攻击者在访问域控制器之前访问了托管数据库和电子邮件的机器。

攻击者还使用11年前的 Bitdefender Crash Handler(“javac.exe”)版本来运行 Mimikatz 和 Golang 渗透测试框架LadonGo。

在该地区的间谍活动中,使用合法应用程序来促进 DLL 侧载似乎是一种增长趋势。虽然是一种众所周知的技术,但鉴于其目前的流行程度,它一定会为攻击者带来一些成功。鼓励组织彻底审核在其网络上运行的软件并监控异常值的存在,例如组织未正式使用的旧的、过时的软件或软件包。

赛门铁克在文档中包含了危害指标,以帮助公司保护其系统免受这些攻击。它们可在咨询的原始文本中找到。黑客活动并不是近几个月来唯一针对亚洲的活动。6 月,卡巴斯基发现了针对亚洲不同国家未打补丁的 Microsoft Exchange 服务器的攻击活动。


转自 E安全,原文链接:https://mp.weixin.qq.com/s/bEMQUdGoA6XfWRuA4331og

封面来源于网络,如有侵权请联系删除