近日,赛门铁克ThreatHunter团队发布安全报告称,非法组织正在对中东和亚洲地区的电信运营商和IT服务提供商发起网络攻击。攻击。截至目前,此类攻击已经持续了六个月,伊朗国家支持的黑客组织MERCURY(又名MuddyWater、SeedWorm或TEMP.Zagros)是其中一次攻击的幕后黑手。在这次安全中,赛门铁克威胁猎人团队收集了许多样本和数据,包括最近在以色列、约旦、科威特、沙特阿拉伯、阿拉伯联合酋长国、巴基斯坦、泰国和老挝发生的网络攻击。黑客使用的工具和一些固定的证据。Exchange服务器成为首要目标在这场长期的网络攻击中,易受攻击的Exchange服务器成为了攻击者的首要目标。目的是让他们在关闭Exchange服务器后更容易部署webshell。一旦攻击成功,他们就会使用窃取的帐户凭据在系统内横向移动,在某些情况下,还会感染其他感兴趣的组织和企业。虽然尚不清楚恶意软件感染或传递媒介究竟是什么,但赛门铁克发现了一个名为“Specialdiscountprogram.zip”的ZIP文件,其中包含远程桌面软件应用程序的安装程序。因此,赛门铁克推测攻击者可能正在向特定目标分发鱼叉式网络钓鱼电子邮件。工具和方法根据SymantecThreatHunter团队的说法,此类活动的常见做法是创建一个Windows服务来启动Windows脚本文件(WSF),然后在网络上执行侦察活动。然后,攻击者使用PowerShell下载更多WSF,并使用Certutil下载隧道工具并运行WMI查询。“从现有的调查数据来看,攻击者在攻击中似乎广泛使用了脚本,基本上都是自动化脚本,用于信息收集或下载其他工具。”SymantecThreatHunter团队表示,“当然,在某些情况下,我们也发现攻击者使用了手动键盘攻击(攻击者不再使用脚本攻击,而是手动登录到被感染系统执行手动命令),例如cURL命令要求。“当攻击者实际在目标组织中建立存在时,他们使用eHorus远程访问工具来促进后续步骤,包括:交付和运行本地安全机构子系统服务(LSASS)转储工具;交付Ligolo隧道工具;执行Certutil以从其他目标组织的ExchangeWeb服务(EWS)请求URL。为了进一步感染其他电信公司,攻击者寻找潜在的ExchangeWeb服务链接并为此使用以下命令:certutil.exe-urlcache–split[DASH]fhxxps://[REDACTED]/ews/exchange[.]asmxcertutil.exe-urlcache-split[DASH]fhxxps://webmail.[REDACTED][.]com/ews下面给出了具体参与者使用的工具Fulllist集合:ScreenConnect:合法的远程管理工具;RemoteUtilities:合法的远程管理工具;eHorus:合法的远程管理工具;Ligolo:反向隧道工具;Hidec:运行隐藏窗口的命令行工具;Nping:Packetg生成工具;LSASSDumper:从本地安全机构子系统服务(LSASS)进程转储凭据的工具;SharpChisel:隧道工具;CrackMapExec:用于自动化ActiveDirectory环境安全评估的公开可用工具;ProcDump:MicrosoftSysinternals工具,用于监控应用程序CPU峰值并生成故障转储;SOCKS5代理服务器:隧道工具;键盘记录器:检索浏览器凭据;Mimikatz:公开可用的凭证转储工具。注意:由于它是安全团队常用的公共工具,所以他们通常不会触发系统警报。该攻击与MuddyWater有关。虽然攻击中恶意软件的具体信息目前未知,但SymantecThreatHunter团队发现两个IP地址与旧版MuddyWater攻击中使用的基础设施重叠。此外,本次攻击活动使用的工具集与安全研究人员在2021年3月报告的攻击有一定的相似性,因此SymantecThreatHunter团队在本次活动中有MuddyWater。但是,仍然无法确定其最终归属。这是因为许多伊朗国家支持的攻击组织使用公共工具并定期更换基础设施,这使得官方很难确定他们的归属。参考来源:https://www.bleepingcomputer.com/news/security/telecom-operators-targeted-in-recent-espionage-hacking-campaign/
