Μία νέα εκστρατεία κατασκοπείας που στοχεύει παρόχους υπηρεσιών τηλεπικοινωνιών και πληροφορικής στη Μέση Ανατολή και την Ασία, ανακαλύφθηκε πρόσφατα από ερευνητές ασφαλείας.
Δείτε επίσης: Η ομάδα εταιρικής κατασκοπείας RedCurl ξαναξεκίνησε τις επιθέσεις
Η εκστρατεία κατασκοπείας πραγματοποιήθηκε τους τελευταίους έξι μήνες και υπάρχουν πιθανοί σύνδεσμοι με την κυβερνητική ομάδα hacking του Ιράν MERCURY γνωστή και ως MuddyWater, SeedWorm ή TEMP.Zagros.
Η αναφορά προέρχεται από την ομάδα Threat Hunter της Symantec, η οποία έχει συλλέξει στοιχεία και δείγματα εργαλείων από πρόσφατες επιθέσεις στο Ισραήλ, την Ιορδανία, το Κουβέιτ, τη Σαουδική Αραβία, τα Ηνωμένα Αραβικά Εμιράτα, το Πακιστάν, την Ταϊλάνδη και το Λάος.
Τα καλύτερα τηλέφωνα Motorola για το 2024
Νέα στοιχεία: Η Αφροδίτη μάλλον δεν είχε ποτέ ωκεανούς
Υπάλληλος Καταγγέλλει την Apple για Παρακολούθηση
Οι εισβολείς φαίνεται να ενδιαφέρονται ιδιαίτερα για τους ευάλωτους διακομιστές Exchange, τους οποίους χρησιμοποιούν για την ανάπτυξη του web shell.
Μετά την αρχική παραβίαση, κλέβουν τα διαπιστευτήρια λογαριασμού και μετακινούνται πλευρικά στο εταιρικό δίκτυο. Σε ορισμένες περιπτώσεις, χρησιμοποιούν τη βάση τους για να στραφούν σε άλλους συνδεδεμένους οργανισμούς.
Η Symantec ανακάλυψε επίσης μια περίπτωση, όπου ένα αρχείο ZIP με το όνομα “Special discount program.zip”, περιείχε ένα πρόγραμμα εγκατάστασης για μια εφαρμογή λογισμικού απομακρυσμένης επιφάνειας εργασίας.
Δείτε ακόμα: Κρατικοί hackers στοχεύουν παρόχους τηλεπικοινωνιών και IT εταιρείες
Ως εκ τούτου, οι κακόβουλοι παράγοντες ενδέχεται να διανέμουν μηνύματα ηλεκτρονικού ψαρέματος (spear-phishing) σε συγκεκριμένους στόχους.
Αρχικά οι hackers συνήθως δημιουργούν μια υπηρεσία Windows για την εκκίνηση ενός αρχείου δέσμης ενεργειών Windows (WSF) που εκτελεί αναγνώριση στο δίκτυο.
Στη συνέχεια, το PowerShell χρησιμοποιείται για τη λήψη περισσότερων WSF και το Certutil για τη λήψη εργαλείων διάνοιξης σήραγγας και την εκτέλεση ερωτημάτων WMI.
Έχοντας εδραιώσει την παρουσία τους στον οργανισμό-στόχο, οι φορείς χρησιμοποιούν το εργαλείο απομακρυσμένης πρόσβασης eHorus, το οποίο τους δίνει τη δυνατότητα να κάνουν τα εξής:
- Παράδοση και εκτέλεση ενός εργαλείου απόρριψης του Local Security Authority Subsystem Service (LSASS).
- Παράδοση εργαλείων διάνοιξης σήραγγας Ligolo.
- Εκτέλεση του Certutil για να ζητήσουν μια διεύθυνση URL από τις Υπηρεσίες Ιστού του Exchange (EWS) και άλλων στοχευμένων οργανισμών.
Δείτε επίσης: Microsoft: Κατάσχεσε ιστότοπους που χρησιμοποιούνται από κρατικούς hacker της Κίνας
Η Symantec κατέγραψε δύο διευθύνσεις IP που αλληλεπικαλύπτονται με την υποδομή που χρησιμοποιείται σε παλαιότερες επιθέσεις MuddyWater.
Επιπλέον, το σύνολο των εργαλείων παρουσιάζει αρκετές ομοιότητες με τις επιθέσεις του Μαρτίου 2021 που αναφέρθηκαν από ερευνητές της Trend Micro.