聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
微软威胁情报中心 (MSTIC) 在CyberWarCon 2021大会上分享了对多个伊朗威胁组织演变的分析,展现出它们越来越复杂的攻击活动。
自2020年9月起,微软一直在追踪六个伊朗黑客组织,它们部署勒索软件并提取数据,为受害者造成破坏和损失。随着时间的流逝,这六个黑客组织已经能够从事网络间谍活动,使用多平台恶意软件,利用擦除器和勒索软件破坏操作,执行钓鱼和密码喷射攻击,甚至执行复杂的供应链攻击活动。
所有这些组织都部署勒索软件实现其目的,并分批次部署,通常相互之间间隔六到八周的时间。本周,微软观察到这些威胁组织在扫描很多漏洞,包括针对 Fortinet FortiOS SSL VPN以及易受 ProxyShell 漏洞攻击的微软 Exchange 服务器等。预测发现仅通过扫描未修复的 Fortinet VPN 系统,这些威胁组织就在今年获取了超过900个明文凭据。
01
耐心收割凭据
过去一年出现的另外一个趋势是,攻击者在发动社工攻击的耐心和持久性方面升级,显示出复杂威胁组织的端倪。
此前,像 Phosphorus (Charming Kitten) 这样的威胁组织发送的是含有恶意链接和附件的恶意邮件,它的成功率有限,但如今该组织开始走耗时的“面试邀请”路径,而这是朝鲜 Lazarus 黑客组织熟稔由于心的技术。在执行攻击期间,Phosphorus 组织会在面试流程期间诱骗目标点击凭据获取页面。
同样遵循这一攻击方法的还有 “Curium” 组织,微软分析师表示该组织利用的是虚假社交帐户的庞大网络,它常常伪装成引人注意的漂亮女性。黑客联系目标并与之日常聊天获得他们的信任。之后他们在某一天发送看似无害文件的恶意文档,趁机释放隐秘的恶意软件。Hamas 黑客组织也在使用类似攻击技术,它曾创建虚假的约会应用诱骗以色列国防军 (IDF) 安装恶意的手机应用。目前尚不清楚这两起攻击活动之间是否存在关联。
02
暴力攻击获得访问权限
尽管有些威胁组织会利用各种攻击手段,但有些选择通过“暴力”攻击,以激进的方式获得对 Office 365 账户的访问权限。
DEV-0343 就是这样一个威胁组织。上个月,该组织攻击美国国防技术公司并运行大规模的密码喷射攻击。微软报告称 DEV-0343 要比上述威胁组织的行动都要快,通常会在同一天获得对目标账户的访问权限。
同时,研究人员还发现 DEV-0343和 “Europium” 组织有时会同时攻击某些账户,分明是两个组织之间的协调行动。
03
伊朗黑客组织仍在演变
近10年前,微软就一直在追踪伊朗黑客组织的行踪,并且几次成功使这些黑客组织的基础设施下线。尽管如此,Phosphorus 组织设法获得了重大成功,比如去年10月份黑掉高层官员的案例。
微软最近发现的情况是,Phosphorus 组织不仅活得非常好,而且受多种协作组织支持经常改头换面。
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/security/microsoft-warns-of-the-evolution-of-six-iranian-hacking-groups/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
298
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
