電信運營商正在成為網(wǎng)絡攻擊活動的目標(附工具列表)
近日,賽門鐵克Threat Hunter團隊發(fā)布安全報告稱,有不法組織正在對中東和亞洲地區(qū)電信運營商和IT服務商發(fā)起網(wǎng)絡攻擊。
截止到目前,此類攻擊已經(jīng)持續(xù)了六個月之久,背后有伊朗國家支持的黑客組織MERCURY(又名 MuddyWater、SeedWorm或 TEMP.Zagros)就是其中幕后黑手之一。
在這份安全中,賽門鐵克Threat Hunter團隊收集了諸多樣本和數(shù)據(jù),包括最近發(fā)生在以色列、約旦、科威特、沙特阿拉伯、阿拉伯聯(lián)合酋長國、巴基斯坦、泰國和老撾等國家的網(wǎng)絡攻擊事件中,黑客所使用的工具以及一些固定下來的證據(jù)。
Exchange 服務器成首要目標
在這起長期的網(wǎng)絡攻擊活動中,易受攻擊的 Exchange 服務器成為攻擊者的首要目標,其目的是在拿下Exchange 服務器后,更方便他們部署web shell。
一旦攻擊成功,他們會通過竊取的賬戶憑證在系統(tǒng)內(nèi)部橫向移動,在某些情況下,還可以借此感染其他相關(guān)組織和企業(yè)。
盡管目前尚不清楚惡意軟件感染、傳播媒介具體是什么,但是賽門鐵克還是找到了一個名為“Special discount program.zip”的ZIP文件,其中包含遠程桌面軟件應用程序的安裝程序。因此,賽門鐵克猜測,攻擊者可能會向特定目標分發(fā)魚叉式網(wǎng)絡釣魚電子郵件。
工具和方法
賽門鐵克Threat Hunter團隊指出,在這類活動中,攻擊者通常的做法是創(chuàng)建一個Windows 服務以啟動 Windows 腳本文件 (WSF),而該文件會在網(wǎng)絡上執(zhí)行偵察活動。
隨后,攻擊者會通過PowerShell 來下載更多WSF,而Certutil則是為了來下載隧道工具和運行WMI查詢。
“從現(xiàn)有的調(diào)查數(shù)據(jù)來看,攻擊者在攻擊活動中似乎廣泛使用腳本,且基本都是用于信息收集或下載其他工具的自動化腳本。”賽門鐵克Threat Hunter團隊表示,“當然,在一些個例中,我們也發(fā)現(xiàn)攻擊者使用了手動鍵盤攻擊(攻擊者停止使用腳本攻擊,手動登錄已經(jīng)感染的系統(tǒng)執(zhí)行手動命令),比如cURL命令請求。”
當攻擊者真正在目標組織中建立存在后,他們會使用 eHorus 遠程訪問工具,方便進行下一步操作,包括:
- 交付并運行本地安全管理局子系統(tǒng)服務(LSASS)傾銷工具;
- 交付Ligolo隧道挖掘工具;
- 執(zhí)行Certutil,從其他目標組織交換Web服務(EWS)請求一個URL。
為了進一步感染其他電信公司,參與者尋找潛在的 Exchange Web 服務鏈接并為此使用以下命令:
- certutil.exe -urlcache –split [DASH]f hxxps://[REDACTED]/ews/exchange[.]asmx
- certutil.exe -urlcache -split [DASH]f hxxps://webmail.[REDACTED][.]com/ews
下面給出了特定參與者使用的工具集的完整列表:
- ScreenConnect:合法的遠程管理工具;
- RemoteUtilities:合法的遠程管理工具;
- eHorus:合法的遠程管理工具;
- Ligolo:反向隧道工具;
- Hidec:用于運行隱藏窗口的命令行工具;
- Nping:數(shù)據(jù)包生成工具;
- LSASS Dumper:從本地安全機構(gòu)子系統(tǒng)服務 (LSASS) 進程轉(zhuǎn)儲憑據(jù)的工具;
- SharpChisel:隧道工具;
- CrackMapExec:公開可用的工具,用于自動對 Active Directory 環(huán)境進行安全評估;
- ProcDump:Microsoft Sysinternals 工具,用于監(jiān)控應用程序的 CPU 峰值并生成故障轉(zhuǎn)儲;SOCKS5 代理服務器:隧道工具;
- 鍵盤記錄器:檢索瀏覽器憑據(jù);
- Mimikatz:公開可用的憑證轉(zhuǎn)儲工具。
注:由于這些工具本身就是安全團隊常用的公開工具,因此他們往往不會觸發(fā)系統(tǒng)警報。
攻擊活動和MuddyWater有關(guān)聯(lián)
盡管目前尚不清楚攻擊活動惡意軟件的具體信息,但是賽門鐵克Threat Hunter團隊發(fā)現(xiàn)有兩個IP地址與舊的MuddyWater攻擊中使用的基礎(chǔ)設施重疊。
此外,此次攻擊活動中的所使用的工具集和安全研究人員報告的2021年3月份的攻擊有一定的相似之處,因此賽門鐵克Threat Hunter團隊此次活動有MuddyWater的身影。
但目前依舊無法確定其最終歸屬,這是因為伊朗國家支持的很多攻擊組織使用公開的工具,并且會定期更換基礎(chǔ)設施,導致官方很難確定其歸屬。
參考來源:
https://www.bleepingcomputer.com/news/security/telecom-operators-targeted-in-recent-espionage-hacking-campaign/
