由于美国的经济和技术主导地位,黑客经常以美国组织为目标,为以下目的寻找有价值的数据:-
- 财务收益
- 网络间谍
- 地缘政治动机
- 利用技术漏洞
Unit42的网络安全研究人员最近指出,黑客正在借助新的黑客工具积极攻击美国组织。
除了美国的组织外,黑客还瞄准了以下国家的组织:-
- 中东
- 非洲
黑客使用的新黑客工具被用于进行以下非法活动:-
- 建立后门功能
- 用于指挥和控制(C2)
- 窃取用户凭据
- 泄露机密信息
受损组织的行业
下面,我们提到了属于以下行业的所有受损组织:-
- 教育
- 房地产
- 零售
- 非营利组织
- 电信公司
- 政府
一套新的黑客工具
威胁参与者跨组织在以下目录中部署了工具,使用批处理和PowerShell脚本的一致文件名:
- C:\Windows\Temp
- C:\Temp
下面列出了批处理和PowerShell脚本的所有类似文件名:
- c:\windows\temp\crs.ps1
- c:\windows\temp\ebat.bat
- c:\windows\temp\install.bat
- c:\windows\temp\mslb.ps1
- c:\windows\temp\pb.ps1
- c:\windows\temp\pb1.ps1
- c:\windows\temp\pscan.ps1
- c:\windows\temp\set_time.bat
- c:\windows\temp\usr.ps1
攻击者部署了以下工具和恶意软件,每次会话后,都会使用cleanmgr.exe来清理环境:
- Ntospy(在受影响的组织中使用)
- Mimilite(仅限于非营利组织和政府相关组织)
- 代理Racoon(仅限于非营利组织和政府相关组织)
为了窃取凭据,威胁参与者使用自定义DLL作为网络提供商模块,这是自2004年以来记录的已知技术。
该恶意软件家族被Unit42命名为Ntospy,劫持身份验证过程,在尝试身份验证时访问用户凭据。
Threat actor通过credman网络提供程序安装DLL模块,使用带有reg.exe的C:\Windows\Temp\install.bat脚本。
除此之外,DLL路径设置为:
- c:\windows\system32\ntoskrnl.dll
研究人员根据共享的静态特征(如RichPE头部哈希和PE部分)将DLL模块与同一恶意软件家族联系起来。
具有相同RichPE头散列的示例是在相同的环境中编译的。即使是那些具有不同构建环境的系统也表现出类似的行为,但在实现方面有所不同。
威胁参与者使用名为Mimilite的定制Mimikatz工具进行认证和数据收集。
该工具使用命令行参数作为密钥对其有效负载进行解密,在执行前使用MD5哈希检查验证完整性。
转储的凭据存储在C:\Windows\Temp\KB200812134.txt中,将活动伪装成Microsoft更新。
这个基于NET的Agent Racoon恶意软件为C2通信创建了一个DNS秘密通道,其名称来源于Unit42的研究人员发现的嵌入式参考文献。
下面,我们提到了Agent Racoon的所有功能:-
- 命令执行
- 文件上传
- 文件下载
除了电子邮件数据,Unit42还发现了Roaming Profile exfiltering。威胁参与者使用通过certutil.exe丢弃的7-Zip压缩了目录,将文件拆分为100MB的块进行exfiltere。
此外,研究人员还没有将该工具集与特定的威胁参与者或威胁群体联系起来。
本文暂时没有评论,来添加一个吧(●'◡'●)