伊朗TEMP.Zagros組織針對亞洲和中東地區進行黑客攻擊
責編:mhshi |2018-03-21 11:00:19FireEye的研究人員從2018年1月到2018年3月發現了一項針對亞洲和中東地區的新型大規模網絡釣魚攻勢。該活動背后的團體被稱為TEMP.Zagros,又名MuddyWater,據專家介紹,它現在正在采用新的戰術,技術和程序。
2017年,PaloAlto Networks的研究人員首次發現了TEMP.Zagros,黑客們利用魚叉式釣魚信息針對多個國家的各個行業。攻擊者使用通常具有地緣政治主題的武器化文件,例如聲稱來自巴基斯坦國民議會或銀行技術發展與研究所的文件。
根據FireEye的報告,TEMP.Zagros攻擊者正在采用一種稱為POWERSTATS的后門,用于后門,并重新使用已知技術進行橫向移動。這些基于宏的文檔中的每一個都使用了類似的代碼執行技術,持久性以及與命令和控制(C2)服務器的通信。黑客重新使用AppLocker旁路和橫向移動技術來實現間接代碼執行。橫向移動技術中的IP地址被本地機器IP地址替代以實現系統上的代碼執行。
該活動于1月23日開始涉及一個基于宏的文檔,該文檔刪除了VBS文件和包含Base64編碼的PowerShell命令的INI文件。Base64編碼的PowerShell命令將由PowerShell使用由WBS文件執行時使用WScript.exe生成的命令行進行解碼和執行。攻擊者對每個樣本使用不同的VBS腳本,采用不同級別的模糊處理以及調用流程樹下一階段的不同方式。
從2018年2月27日開始,黑客使用了一個不使用VBS來執行PowerShell代碼的宏的新變種。 新的變體使用一種新的代碼執行技術,利用INF和SCT文件。FireEye的研究人員還在TEMP.Zagros使用的惡意代碼中發現了中文字符串,這些字符串被留作虛假標志以使得歸屬變得更加困難。
FireEye 分析報告:https://www.fireeye.com/blog/threat-research/2018/03/iranian-threat-group-updates-ttps-in-spear-phishing-campaign.html
原文:http://securityaffairs.co/wordpress/70453/hacking/temp-zagros-phishing.html