威胁演员利用DNS重定向瞄准中东

  • 时间:
  • 浏览:30
  • 来源:it300
威胁演员利用DNS重定向瞄准中东 思科Talos安全研究人员表示,以前未记录的威胁行为者一直在针对中东地区的实体进行新的恶意软件和DNS重定向。

Talos称之为DNSpionage的一项活动使用虚假的恶意网站,其中包括试图通过恶意Microsoft Office文档破坏目标的职位发布。这些攻击中使用的恶意软件支持HTTP和DNS(域名系统)通信。

另一项针对黎巴嫩和阿拉伯联合酋长国(阿联酋).gov域名以及一家私营黎巴嫩航空公司的活动使用DNS重定向。研究人员说,为了不被发现,威胁演员花了很多时间来了解受害者的网络基础设施。仔细生成Let的加密证书是我们的对于重定向的域名。

虚假的工作列表网站上的恶意Microsoft Office文档是加拿大可持续能源公司Suncor Energy网站上的合法文件的副本。攻击者可能会向他们的目标发送鱼叉式网络钓鱼电子邮件以发送到恶意文档的链接。

当文档打开时,宏解码PE文件并将其丢弃为“svshost_serv.doc”但是,当文档已关闭,它将文件重命名为“svshost_serv.exe”。宏还会创建一个计划任务来执行二进制文件。

最终有效载荷是一种远程管理工具,支持DNS隧道作为隐蔽通信信道。从攻击者的服务器下载的其他脚本和工具存储在Downloads文件夹中被剥夺的信息存储在上传目录中。

10月和11月期间,另一项活动针对黎巴嫩和阿联酋的受害者。研究人员发现,属于这些国家公共部门的多个域名服务器以及黎巴嫩的一些公司都受到了损害。

黎巴嫩财政部的电子邮件域是恶意DNS重定向的受害者,与警察(VPN和学院)和阿联酋电信管理局的域名相同。我们的加密证书是在攻击发生的相同日期发出的。

此外,该演员针对黎巴嫩航空公司中东航空公司(MEA)进行了DNS重定向攻击。此攻击中使用的Let's Encrypt证书是在创建前一周创建的d包含主题行中的备用名称,允许将多个域添加到SSL活动的证书中。

“这些域名显示了对受害者域名的清晰认识,[这]使我们相信攻击者在这些环境中活跃,以了解他们需要生成的特定域名和证书,”Talos指出。

Talos说,DNSpionage恶意软件的目标尚未确定,但他们是黎巴嫩和阿联酋的用户。研究人员无法确定DNS重定向攻击是否成功,但攻击者继续努力。

“我们非常有信心这两个活动都来自同一个演员。但是,我们对ac的位置知之甚少他们的确切动机。很明显,这个威胁行为者能够在两个月内从两个不同国家的政府所有域重定向DNS,以及一家黎巴嫩国家航空公司,“Talos说。

相关:APT集团在中东攻击中使用Windows零日

相关:DarkHydrus在中东攻击中使用开源Phishery工具

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01