| 关键词: 波斯语 使用 以色列 一个 诱饵 凭据 组织 版本 工具 研究人员 |
美国安全厂商Mandiant一直在跟踪一个高级威胁活动,它被认为归属于一个伊朗APT组织,该组织一直针对以色列的利益,尤其是航运业。该活动于 2020 年底首次被注意到,并在 2022 年年中进行。Mandiant 已将该组命名为UNC3890。 尽管该组织的目标是以色列目标,但其中有一些全球性组织——这意味着可能会在其他地区产生连锁反应。主要目标是政府、航运、能源、航空和医疗保健部门。 以色列航运非常受关注。研究人员在一项分析中说:“虽然我们认为这个攻击者专注于情报收集,但收集到的数据可能会被用来支持各种活动。” UNC3890的初始访问是通过水坑攻击和凭证收集。后者使用该组织的 C2 服务器伪装成合法服务来获取凭据并发送网络钓鱼诱饵。这些服务器托管域和虚假登录页面,包括伪造的Office 365、LinkedIn 和 Facebook 等网络服务,提供虚假工作机会和虚假广告。研究人员还发现了一个 UNC3890 服务器,其中包含可能用于社会工程攻击的 Facebook 和 Instagram 信息。 攻击者使用的一种网络钓鱼诱饵很可能是一个伪装成工作机会但旨在安装 Sugardump 的 .xls 文件,该文件是威胁组织使用的两个独特工具之一。Sugardump 是一种凭证收集工具,能够从基于 Chromium 的浏览器中提取密码。 第二个工具是 Sugarush,一个用于与嵌入式 C2 建立连接并执行 CMD 命令的后门。UNC3890 使用的其他工具包括 Unicorn(用于执行 PowerShell 降级攻击并将 shellcode 注入内存的工具)、Metasploit 和 Northstar C2(为渗透测试和红队开发的开源框架)。 已发现多个版本的 Sugardump。最早的日期为 2021 年初,有两种变体。第一个版本存储凭据而不泄露它们。它可能是未完成的恶意软件,或者被设计为与其他工具一起用于渗透过程。 第二个版本可追溯到 2021 年底或 2022 年初,使用 SMTP 协议进行 C2 通信,使用 Yahoo、Yandex 和 Gmail 地址进行渗透。研究人员还注意到与特定网络钓鱼诱饵的联系:一段社会工程视频,其中包含人工智能驱动的机器人娃娃的广告。 此版本具有更复杂的凭据窃取功能,并且能够在渗透之前从 Firefox、Chrome、Opera 和 Edge 浏览器中提取凭据。 第三个版本的日期为 2022 年 4 月。使用 HTTP 进行通信,并与虚假的 NexisLexis 工作机会相关联作为诱饵。该诱饵以 XLS 文件的形式提供,其中包含尝试执行嵌入式 PE 文件的宏。 收集的数据使用 AES 加密,使用嵌入式密码的 SHA256 作为加密密钥。密码包含单词 Khoda,在波斯语中意为上帝——并进一步表明开发人员会说波斯语。该版本的 .NET 项目被命名为“yaal”,这是波斯语中马鬃的意思。 研究人员将 Sugarush 描述为“一个小而有效的后门”,它在 TCP 上建立了一个反向 shell。它检查互联网连接。如果存在连接,Sugarush 会通过端口 4585 与嵌入式 C2 地址建立新的 TCP 连接,并等待应答。答案被解释为用于执行的 CMD 命令。 在代码中发现的线索和对以色列目标的关注相结合,Mandiant 以“适度的信心”暗示 UNC3890 是一个与伊朗有关的潜在新威胁组织。 参考链接:www.securityweek.com |
| 本文出处: https://www.toutiao.com/article/7133094710062727715/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|