新的Cyber​​espionage攻击与MuddyWater运动有关

  • 时间:
  • 浏览:21
  • 来源:it300
新的Cyber​​espionage攻击与MuddyWater运动有关 根据趋势科技的说法,最近针对土耳其,巴基斯坦和塔吉克斯坦组织的攻击似乎与之前详细的MuddyWater活动有关。

MuddyWater活动之所以如此命名是因为他们管理的混乱程度很高创建,因此很难归因于特定的演员。然而,与MuddyWater相关的文物被用于针对沙特阿拉伯政府的攻击,去年与单一攻击框架相关的攻击,以及归因于黑客组织FIN7的事件。

基于目标组织和重点收集信息并将其上传到命令和控制(CC)服务器,这些攻击背后的演员主要关注间谍活动,趋势科技says。

新观察到的攻击与以前观察到的MuddyWater活动有很多联系,并且还表明“攻击者不仅仅对一次性活动感兴趣,而且可能继续针对目标进行网络间谍活动国家和行业,“安全公司指出。

与早期MuddyWater活动的相似之处包括关注中东目标,使用试图模仿政府组织的文件,删除Visual Basic文件和Powershell文件(VBS执行PS) ,并使用数百个被黑网站作为代理。

此外,趋势科技称,这些攻击在去混淆后显示出类似的混淆过程和内部变量。

恶意文件针对在塔吉克斯坦为政府组织和电信公司工作的个人,使用工程技术来诱骗受害者使用宏。一些有效载荷嵌入在文档本身内,而其他有效载荷则从Internet下载。

启用宏后,Visual Basic脚本和PowerShell脚本(都是模糊处理的)将被删除到ProgramData目录中。使用VBS脚本的路径创建计划任务以确保持久性。

作为其他攻击的一部分,删除的第二个文件是base64编码的文本文件,在解码后会生成Powershell文件。另一个广告系列会丢弃三个文件:.sct scriptlet文件,.inf文件和base64编码数据文件。前两个使用公开可用的代码来bypass applocker。

PowerShell脚本分为三个部分:一个包含全局变量(路径,加密密钥,门列表和用作代理的被黑网站),第二部分包含与标准RSA加密相关的功能,第三部分包含包含后门功能。

后门收集机器信息,截取屏幕截图,并将所有数据发送到C C.它还包括对诸如清除等命令的支持(尝试从驱动器C,D,E和F中删除所有项目) ,重启,关机,截图和上传。通过XML消息执行与C C的通信。

“似乎攻击者正在积极监视到C C的传入连接。在我们的一次尝试中,我们向C C服务器发送了一个不正确的请求,该服务器回复了以下消息:'停止!我杀死了你的研究员。“这种级别的个性化消息传递意味着攻击者正在监视来自他们的C C服务器的数据,”趋势科技解释说。

安全研究人员还发现了PowerShell脚本中似乎是错误的标志。如果与C C的通信失败并且从命令行运行PowerShell脚本,则会显示以简体中文编写的错误消息。 Trend的研究人员指出,这些消息似乎是机器翻译的,而不是由母语人士写的。

相关:中东'MuddyWater'攻击难以清除

相关:近期无文件攻击与单一框架相关,研究人员称

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01