中东“泥泞水”袭击难以清除

  • 时间:
  • 浏览:40
  • 来源:it300
中东“泥泞水”袭击难以清除 帕洛阿尔托网络本周表示,尽管经过多名研究人员的分析,针对中东实体的长期针对性攻击很难归因。

安全公司称其为“MuddyWater”,因为他们已经创建了高度混乱,攻击发生在2017年2月至10月期间。该活动利用各种恶意文件,并在沙特阿拉伯,伊拉克,以色列,阿拉伯联合酋长国,格鲁吉亚,印度,到目前为止,巴基斯坦,土耳其和美国。

研究人员说,这些攻击使用了一种缓慢发展的基于PowerShell的第一阶段后门,名为POWERSTATS。尽管存在现有报告,但与此威胁行为者相关的活动仍在继续,唯一观察到的变化与工具有关

这些攻击中使用的恶意文件几乎与最近发现的针对沙特阿拉伯政府的事件相同。这些文档类似于先前与Morphisec链接到单个攻击框架的一系列无文件攻击相关联的文件。其中一些攻击归因于被称为FIN7的黑客组织。

根据新的Palo Alto Networks报告,这些攻击可能与FIN7组有误。据称,MuddyWater也使用了一个提供与FIN7相关的DNSMessenger工具的命令和控制(CC)服务器,但没有证据表明后者曾使用过该实用程序,研究人员声称。

2月和10月,恶意d与团体活动相关的景点是根据目标地区量身定制的。他们经常使用当地政府分支机构的标识试图欺骗用户启用恶意宏。

传递方法可能在攻击之间发生了变化,但最终的有效负载仍然是上面提到的非公开的PowerShell后门。此外,此活动中使用的恶意文档共享相同的CC基础设施并具有相似的属性。

“基于这些连接,我们可以确信所有文件和基础设施都是相关的,因为不止一个其中一些可用于链接每种情况下讨论的每个样本,“Palo Alto指出。研究人员还发布了C C服务器,受损站点和相关的列表文件。

该小组使用的工具已在以前的报告中有详细记录,包括Meterpreter,Mimikatz,Lazagne,Invoke-Obfuscation等开源实用程序。研究人员表示,在最近的一些攻击中,GitHub被用作POWERSTATS定制后门的托管站点,因为该角色控制着多个GitHub存储库。

MuddyWater甚至在第三方组织的帐户中泄露了他们的恶意软件。作为攻击的一部分,使用的恶意文档几乎与同一收件人后来收到的合法附件相同。

“这表明攻击者从受感染的用户帐户中窃取并修改了合法文档,制作了恶意诱饵Word宏文档使用这个被盗文件并发送给它他指出,在真正的发送者有时间发送电子邮件之前,可能会期待来自原始帐户用户的电子邮件,“研究人员解释说。”

根据Palo Alto Networks的报告,之前将这一活动集群与FIN7宁愿制造混乱。 FIN7小组的财务动机是针对餐馆,服务和金融领域的组织,这表明威胁行动者不太可能与中东的间谍攻击有关。

与FIN7相关的恶意软件还没有在MuddyWater攻击中观察到,研究人员还声称报告中可能存在错误,将攻击与FIN7联系起来。然而,他们也承认黑客在实现这些时可能会埋下虚假的旗帜正在调查中。

“虽然我们可以确信本文中讨论的攻击与FIN7无关,但我们无法回答有关MuddyWater攻击的许多问题。我们目前无法对攻击者的起源或他们在网络上寻找的特定类型的信息做出确切的结论,“安全研究人员说。

相关:间谍攻击使用脚本获取数据渗出

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01