俄羅斯黑客組織圖拉對伊朗發(fā)動(dòng)攻擊
責(zé)編:gltian |2019-06-28 13:35:2118個(gè)月的網(wǎng)絡(luò)戰(zhàn)爭以快速發(fā)展的工具包為特點(diǎn)
政府有關(guān)威脅組織在攻擊中東政府基礎(chǔ)設(shè)施時(shí)遭到一些不太友好的攻擊,開始了一場網(wǎng)絡(luò)混戰(zhàn)。
賽門鐵克 (Symantec) 的研究人員認(rèn)為在 2018 年,一個(gè)說俄語的黑客組織劫持了他們的伊朗競爭對手 Crambus (又名OilRig) 的基礎(chǔ)設(shè)施。
在這次攻擊中,黑客組織 Waterbug (又名Turla) 向 Crambus 控制的計(jì)算機(jī)上投放了惡意軟件。這個(gè)惡意軟件正在與已知的 Waterbug C&C 服務(wù)器進(jìn)行通信。賽門鐵克認(rèn)為這次獨(dú)特事件的脈絡(luò)是,Crambus 首先入侵并控制了一個(gè)尚未具名中東政府的部分計(jì)算機(jī)基礎(chǔ)設(shè)施。
嗅到能夠加強(qiáng)網(wǎng)絡(luò)能力并干擾對手的機(jī)會(huì),黑客組織 Waterbug 將名為 msfgi.exe 的任務(wù)調(diào)度程序投放到了 Crambus 網(wǎng)絡(luò)中的計(jì)算機(jī)上。第二天,他們通過 Mimikatz 在網(wǎng)絡(luò)中橫向移動(dòng)。
Mimikatz 黑客工具在 2018 年初被部署到 Crambus 的網(wǎng)絡(luò)上。賽門鐵克研究人員在報(bào)告中指出:
Mimikatz是通過Powruner工具和Poison Frog控制面板被下載的。很多供應(yīng)商都公開將基礎(chǔ)設(shè)施和Powruner工具與Crambus聯(lián)系在一起。
攻擊中使用的特殊 Mimikatz 變體實(shí)際上將其與 Waterbug 組織聯(lián)系在一起,因?yàn)槌?sekurlsa::logonpassword 憑證竊取功能之外,他們通過重寫幾乎修改了所有原始代碼。
俄羅斯網(wǎng)絡(luò)黑客組織WaterBug以往活動(dòng)
如果這是一個(gè)威脅集團(tuán)試圖攻占另一個(gè)集團(tuán)的基礎(chǔ)設(shè)施,那么這標(biāo)志著一個(gè)有趣的戰(zhàn)術(shù)升級(jí),也標(biāo)志著俄羅斯黑客組織 Waterbug 的日益成熟。
自 2018 年初以來,Waterbug 已經(jīng)與針對 10 個(gè)不同國家組織的一系列攻擊聯(lián)系在一起。這些目標(biāo)包括橫跨三大洲的外交部、中東的一個(gè) ICT 組織以及南亞的一個(gè)教育機(jī)構(gòu)。
跟蹤這些襲擊的研究人員注意到,該組織正在變得越來越成熟,全年都在部署新的武器。這些新工具包括一個(gè)自定義的黑客工具,它將之前泄露的四種黑客工具——EternalBlue, EternalRomance, DoublePulsar 和 SMBTouch 合并到一個(gè)可執(zhí)行文件中。
他們還使用 visual basic 腳本,這些腳本可以進(jìn)行信息偵查,從而將數(shù)據(jù)發(fā)送到被控制的服務(wù)器上。
賽門鐵克指出,可以看出 PowerShell 攻擊仍然很流行。
PowerShell 腳本在 Windows 憑證管理器上進(jìn)行信息偵察和憑據(jù)盜竊,然后將這些信息發(fā)送給 Waterbug C&C。
越界攻擊的動(dòng)機(jī)
目前還不清楚這兩個(gè)國家黑客組織之間究竟發(fā)生了什么。賽門鐵克發(fā)現(xiàn),隨著一個(gè)名為 IntelliAdmin 的合法系統(tǒng)管理工具突然出現(xiàn)在 Crambus 的網(wǎng)絡(luò)中,整個(gè)事情變得有些混亂。它似乎是通過 Waterbug 后門被投放到?jīng)]有被 Crambus 入侵的電腦上。
一些人認(rèn)為,這是一個(gè)虛假行動(dòng),目的是混淆視聽,讓研究人員和網(wǎng)絡(luò)防御組織失手。
賽門鐵克提出的一種解釋是 Waterbug 準(zhǔn)備攻擊中東政府系統(tǒng),但經(jīng)過偵察發(fā)現(xiàn) Crambus 已經(jīng)開始了類似的攻擊,所以控制 Crambus 的網(wǎng)絡(luò)更加容易,同時(shí)也能為他們提供訪問政府系統(tǒng)的權(quán)限。
盡管賽門鐵克還有很多沒有回答的問題,但他們指出:
Waterbug 不斷進(jìn)化的工具包顯示出一個(gè)團(tuán)隊(duì)的高度適應(yīng)性,決心通過領(lǐng)先目標(biāo)一步避免被發(fā)現(xiàn)。頻繁的裝備更新和對虛假戰(zhàn)術(shù)的偏好使得該組織成為有目標(biāo)攻擊領(lǐng)域中最具威脅的對手之一。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧