一个以前不为人知的威胁行为者,专门使用大量公开可用的和 离地生活 研究人员发现,自去年 XNUMX 月以来,这些工具一直以亚洲航运公司和医学实验室为目标进行情报收集。
博通软件旗下赛门铁克的研究人员将其称为 Hydrochasma,该组织似乎尚未窃取任何数据,但似乎以涉及 COVID-19 相关治疗或网络间谍疫苗的行业为目标,赛门铁克的威胁猎手团队写在 博客文章 本周公布。
研究人员写道:“虽然赛门铁克研究人员没有观察到数据从受害机器中泄露,但 Hydrochasma 部署的一些工具确实允许远程访问,并可能被用于泄露数据。”
从其工具和策略来看,该组织的主要动机似乎是在不被发现的情况下实现对受害机器的持续访问,“以及努力提升特权并在受害网络中横向传播,”他们指出。
赛门铁克威胁猎人团队的高级情报分析师 Brigid O Gorman 告诉 Dark Reading,事实上,定制恶意软件的缺乏本身就是一种动机。
“值得注意的是,该组织对离地生活和公共可用工具的依赖,”她说。 “这可能会告诉我们关于该组织的许多事情,包括希望保持低调,并使他们的活动归因更加困难。”
Hydrochasma 如何攻击
当研究人员注意到攻击者经常使用的免费、开源和跨平台 VPN 软件 SoftEther VPN 的存在时,他们首先提醒他们注意受害者网络上的活动。
与许多其他威胁组织一样,Hydrochasma 似乎使用网络钓鱼作为其初始访问目标网络的手段。 的确, 钓鱼 仍然是攻击者破坏网络的最成功方式之一,并且它继续快速增长和发展。
在这种情况下,研究人员在受害机器上发现的第一个可疑活动迹象是一个诱饵文件,文件名以组织的母语命名,似乎是货运公司“产品规范”的电子邮件附件,他们说。 研究人员还发现了一种模仿“开发工程师”简历的诱饵。
一旦 Hydrochasma 获得对机器的访问权限,攻击者就会放置一个快速反向代理,该工具可以将受网络地址转换 (NAT) 或防火墙保护的本地服务器暴露给 Internet。 这反过来会删除合法的 Microsoft Edge 更新文件。 紧随其后的是另一个文件,该文件实际上是一个名为 Meterpreter 的公开可用工具——它是 Metasploit 框架的一部分——可用于远程访问,研究人员说。
除了厨房水槽之外的一切
事实上,在研究人员观察到的活动中,该组织用一系列公开可用的工具轰炸了受害者组织,除了厨房水槽之外似乎什么都没有,旨在保证其在网络上的存在和持久性。
“在攻击链中只使用开源恶意软件的攻击组织相对不常见,因此这确实让我们注意到了 Hydrochasma 的活动,”O Gorman 指出。
Hydrochasma 在攻击中使用的其他工具包括:Gogo 扫描工具,一种自动扫描引擎; Process Dumper,允许攻击者转储域密码; AlliN扫描工具,可用于内网横向渗透; Fscan,一种公开可用的黑客工具,可以扫描开放端口等。
研究人员还使用 钴打击信标,一种合法的渗透测试工具,攻击者也广泛采用该工具来执行命令; 注入、提升和模拟进程; 以及在受害网络上上传和下载文件。 该组织还在攻击中部署了一个 shellcode 加载程序和一个损坏的可移植可执行文件。
然而,他们对受害者网络的攻击并没有就此停止; 研究人员观察到在攻击中使用的其他工具包括: Procdump,用于监控应用程序的 CPU 峰值并生成故障转储; BrowserGhost,可以从浏览器中获取密码; 隧道工具 Gost 代理; Ntlmrelay 用于拦截经过验证的身份验证请求以访问网络服务; 和 HackBrowserData,一种可以解密浏览器数据的开源工具。
避免妥协
赛门铁克在其博客文章中包括了文件和网络妥协指标,以帮助组织确定他们是否成为 Hydrochasma 的目标。
O Gorman 说:“该组织广泛使用军民两用和陆上工具凸显了组织需要一个全面的安全解决方案来检测网络机器上的可疑行为并阻止恶意软件,”应该采用深度防御策略,使用多种检测、保护和强化技术来降低潜在攻击链每个点的风险,”她告诉 Dark Reading。 “组织还应该了解并监控其网络内双重用途工具的使用。”
一般来说,赛门铁克还建议对管理帐户的使用实施适当的审计和控制,以及创建管理工具的使用配置文件,“因为攻击者使用这些工具中的许多工具在网络中横向移动而不被发现,”O Gorman添加。
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://www.darkreading.com/analytics/hydrochasma-bombards-targets-slew-commodity-malware-tools
