近日，賽門鐵克Threat Hunter團隊發(fā)布安全報告稱，有不法組織正在對中東和亞洲地區(qū)電信運營商和IT服務(wù)商發(fā)起網(wǎng)絡(luò)攻擊。

截止到目前，此類攻擊已經(jīng)持續(xù)了六個月之久，背后有伊朗國家支持的黑客組織MERCURY(又名 MuddyWater、SeedWorm或 TEMP.Zagros)就是其中幕后黑手之一。

在這份安全中，賽門鐵克Threat Hunter團隊收集了諸多樣本和數(shù)據(jù)，包括最近發(fā)生在以色列、約旦、科威特、沙特阿拉伯、阿拉伯聯(lián)合酋長國、巴基斯坦、泰國和老撾等國家的網(wǎng)絡(luò)攻擊事件中，黑客所使用的工具以及一些固定下來的證據(jù)。

[[440606]]

Exchange 服務(wù)器成首要目標

在這起長期的網(wǎng)絡(luò)攻擊活動中，易受攻擊的 Exchange 服務(wù)器成為攻擊者的首要目標，其目的是在拿下Exchange 服務(wù)器后，更方便他們部署web shell。

一旦攻擊成功，他們會通過竊取的賬戶憑證在系統(tǒng)內(nèi)部橫向移動，在某些情況下，還可以借此感染其他相關(guān)組織和企業(yè)。

盡管目前尚不清楚惡意軟件感染、傳播媒介具體是什么，但是賽門鐵克還是找到了一個名為“Special discount program.zip”的ZIP文件，其中包含遠程桌面軟件應(yīng)用程序的安裝程序。因此，賽門鐵克猜測，攻擊者可能會向特定目標分發(fā)魚叉式網(wǎng)絡(luò)釣魚電子郵件。

工具和方法

賽門鐵克Threat Hunter團隊指出，在這類活動中，攻擊者通常的做法是創(chuàng)建一個Windows 服務(wù)以啟動 Windows 腳本文件 (WSF)，而該文件會在網(wǎng)絡(luò)上執(zhí)行偵察活動。

隨后，攻擊者會通過PowerShell 來下載更多WSF，而Certutil則是為了來下載隧道工具和運行WMI查詢。

“從現(xiàn)有的調(diào)查數(shù)據(jù)來看，攻擊者在攻擊活動中似乎廣泛使用腳本，且基本都是用于信息收集或下載其他工具的自動化腳本。”賽門鐵克Threat Hunter團隊表示，“當然，在一些個例中，我們也發(fā)現(xiàn)攻擊者使用了手動鍵盤攻擊(攻擊者停止使用腳本攻擊，手動登錄已經(jīng)感染的系統(tǒng)執(zhí)行手動命令)，比如cURL命令請求。”

當攻擊者真正在目標組織中建立存在后，他們會使用 eHorus 遠程訪問工具，方便進行下一步操作，包括：

• 交付并運行本地安全管理局子系統(tǒng)服務(wù)(LSASS)傾銷工具;
• 交付Ligolo隧道挖掘工具;
• 執(zhí)行Certutil，從其他目標組織交換Web服務(wù)(EWS)請求一個URL。

為了進一步感染其他電信公司，參與者尋找潛在的 Exchange Web 服務(wù)鏈接并為此使用以下命令：

certutil.exe -urlcache –split [DASH]f hxxps://[REDACTED]/ews/exchange[.]asmx 
certutil.exe -urlcache -split [DASH]f hxxps://webmail.[REDACTED][.]com/ews 

下面給出了特定參與者使用的工具集的完整列表：

• ScreenConnect：合法的遠程管理工具;
• RemoteUtilities：合法的遠程管理工具;
• eHorus：合法的遠程管理工具;
• Ligolo：反向隧道工具;
• Hidec：用于運行隱藏窗口的命令行工具;
• Nping：數(shù)據(jù)包生成工具;
• LSASS Dumper：從本地安全機構(gòu)子系統(tǒng)服務(wù) (LSASS) 進程轉(zhuǎn)儲憑據(jù)的工具;
• SharpChisel：隧道工具;
• CrackMapExec：公開可用的工具，用于自動對 Active Directory 環(huán)境進行安全評估;
• ProcDump：Microsoft Sysinternals 工具，用于監(jiān)控應(yīng)用程序的 CPU 峰值并生成故障轉(zhuǎn)儲;SOCKS5 代理服務(wù)器：隧道工具;
• 鍵盤記錄器：檢索瀏覽器憑據(jù);
• Mimikatz：公開可用的憑證轉(zhuǎn)儲工具。

注：由于這些工具本身就是安全團隊常用的公開工具，因此他們往往不會觸發(fā)系統(tǒng)警報。

攻擊活動和MuddyWater有關(guān)聯(lián)

盡管目前尚不清楚攻擊活動惡意軟件的具體信息，但是賽門鐵克Threat Hunter團隊發(fā)現(xiàn)有兩個IP地址與舊的MuddyWater攻擊中使用的基礎(chǔ)設(shè)施重疊。

此外，此次攻擊活動中的所使用的工具集和安全研究人員報告的2021年3月份的攻擊有一定的相似之處，因此賽門鐵克Threat Hunter團隊此次活動有MuddyWater的身影。

但目前依舊無法確定其最終歸屬，這是因為伊朗國家支持的很多攻擊組織使用公開的工具，并且會定期更換基礎(chǔ)設(shè)施，導(dǎo)致官方很難確定其歸屬。

參考來源：

https://www.bleepingcomputer.com/news/security/telecom-operators-targeted-in-recent-espionage-hacking-campaign/