Hackernews 编译，转载请注明出处： 研究人员发现了一种新的针对中东和亚洲电信和 IT 服务提供商的间谍黑客活动。 这项攻击活动已经进行了六个月，操作者似乎与伊朗支持的攻击者 MERCURY (又名 MuddyWater，SeedWorm，或 TEMP.Zagros)有关。 这份报告来自 Symantec 的威胁猎手团队，他们收集了以色列、约旦、科威特、沙特阿拉伯、阿拉伯联合酋长国、巴基斯坦、泰国和老挝最近发生的袭击事件的证据和工具样本。 瞄准 Exchange 服务器 攻击者似乎对易受攻击的 Exchange 服务器最感兴趣，他们将这些服务器用于 web shell 部署。 在最初的入侵之后，他们盗取帐户凭证并在企业网络中横向移动。在某些情况下，他们利用自己的立足点转向其他关联组织。尽管感染源不明，Symantec还是找到了一个名为“ Special discount program.ZIP”的 ZIP 文件，其中包含一个远程桌面软件应用程序的安装程序。 因此，攻击者可能正在向特定目标发送鱼叉式网络钓鱼邮件。 工具和方法 攻击者开始行动的第一个迹象通常是创建一个 Windows 服务，以启动一个 Windows 脚本文件(WSF) ，对网络进行侦察。 接下来，PowerShell 用于下载更多 WSFs，Certutil 用于下载隧道工具和运行 WMI 查询。 ”根据进程沿袭数据，攻击者似乎广泛使用脚本。这些可能是用于收集信息和下载其他工具的自动脚本。”Symantec的报告解释说。 “然而，在一个案例中，一个命令向 cURL 求助，这表明攻击者至少有一些动手操作键盘的行为。” 在目标组织中建立了他们的存在，攻击者使用了 eHorus 远程访问工具，这使他们能够做到以下几点: 1. 运送及(可能)运行本地安全认证子系统服务倾倒工具。 2. 提供(据信是) Ligolo 隧道工具。 3. 执行 Certutil 来请求其他目标组织的 exchangeweb 服务(EWS)的 URL。 为了转向其他电信公司，攻击者寻找潜在的 Exchange Web 服务链接，并为此使用以下命令: Exe-urlcache-split [ DASH ] f hxxps://[ REDACTED ]/ews/exchange [ . ] asmx Exe-urlcache-split [ DASH ] f hxxps://webmail. [ REDACTED ][ . ] com/ews 下面是攻击者使用的工具集的完整列表: ScreenConnect: 合法的远程管理工具 RemoteUtilities: 合法的远程管理工具 eHorus: 合法的远程管理工具 Ligolo: 反向隧道工具 Hidec：命令行工具，用于运行隐藏窗 Nping: 包生成工具 LSASS Dumper: 从本地安全认证子系统服务进程中转储凭证的工具 SharpChisel: 隧道工具 Password Dumper CrackMapExec: 公开可用的工具，用于自动化 Active Directory 环境的安全评估 ProcDump: 微软 Sysinternals 工具，用于监视应用程序的 CPU 峰值和生成崩溃转储，但也可以用作一般的进程转储工具 SOCKS5代理服务器: 隧道工具 键盘记录器: 检索浏览器凭据 Mimikatz: 公开的证书转储工具 大多数这些工具是安全进攻队通常使用的公开可用工具，因此在组织中它们可能不会引发警报。 链接至 MuddyWater 尽管来源并不确定，Symantec记录了两个 IP 地址，这两个地址与之前  MuddyWater 攻击中使用的基础设施相同。 此外，这个工具集还与Trend Micro的研究人员报告的2021年3月的攻击有几个相似之处。 尽管如此，许多伊朗政府支持的攻击者使用现有的公开工具，并定期更换基础设施，因此，目前还无法确定真正的幕后黑客。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接