HackerNews 编译,转载请注明出处:
网络安全公司FortiGuard事件响应团队(FGIR)在一份报告中披露,某伊朗国家支持的黑客组织对中东地区一家关键国家基础设施(CNI)实施了持续近两年的网络入侵。此次攻击活动从2023年5月持续至2025年2月,涉及“大规模间谍行动及疑似网络预置行为(一种用于维持长期访问以获取未来战略优势的战术)”。Fortinet指出,该攻击的技术特征与已知伊朗国家级威胁组织Lemon Sandstorm(原Rubidium,亦追踪为Parisite、Pioneer Kitten、UNC757)存在重叠。
该组织自2017年起活跃,攻击目标涵盖美国、中东、欧洲及澳大利亚的航空航天、石油天然气、水务和电力行业。工业网络安全公司Dragos分析称,该组织曾利用Fortinet、Pulse Secure和Palo Alto Networks的VPN已知漏洞获取初始访问权限。2023年,美国网络安全与情报机构指控Lemon Sandstorm对美国、以色列、阿塞拜疆和阿联酋的实体部署勒索软件。
此次针对CNI实体的攻击分为四个阶段,攻击者根据受害方的防御措施持续升级工具链:
- 2023年5月15日至2024年4月29日,攻击者利用窃取的登录凭证入侵受害者SSL VPN系统,在对外服务器部署Web Shell,并植入Havoc、HanifNet、HXLibrary三款后门程序维持长期访问;2024年4月30日至2024年11月22日,攻击者追加部署Web Shell及新型后门NeoExpressRAT,使用plink、Ngrok等工具渗透内网,定向窃取受害者邮件数据并进行横向移动至虚拟化基础设施;2024年11月23日至2024年12月13日,在受害者启动初步封堵措施后,攻击者部署更多Web Shell及后门MeshCentral Agent、SystemBC;2024年12月14日至今,攻击者尝试利用Biotime漏洞(CVE-2023-38950、CVE-2023-38951、CVE-2023-38952)重新渗透网络,并对11名员工发起钓鱼攻击以窃取Microsoft 365凭证
值得注意的是,Havoc和MeshCentral都是开源工具,分别作为命令和控制(C2)框架和远程监控和管理(RMM)软件。另一方面,SystemBC指的是一种商品恶意软件,通常是勒索软件部署的前兆。
下面简要介绍了攻击中使用的其他自定义恶意软件家族和开源工具:
- Havoc:开源C2框架MeshCentral:开源远程监控管理(RMM)软件SystemBC:常用于勒索攻击前期的商品化恶意软件HanifNet:未签名的.NET可执行文件,支持远程命令执行(2023年8月首次出现)HXLibrary:恶意IIS模块,通过Google Docs文档获取C2配置(2023年10月部署)CredInterceptor:基于DLL的凭证窃取工具,针对LSASS进程内存(2023年11月使用)RemoteInjector:载荷加载器,用于启动Havoc等后续攻击模块(2024年4月投入)NeoExpressRAT:疑似通过Discord通信的后门程序(2024年8月出现)DarkLoadLibrary:开源加载器,用于激活SystemBC(2024年12月部署)
攻击者使用的C2服务器(apps.gist.githubapp[.]net、gupdate[.]net)与Lemon Sandstorm历史活动存在关联。Fortinet指出,受害者受限的运营技术(OT)网络是主要攻击目标,攻击者通过链式代理工具和定制化植入程序绕过网络分段限制进行横向移动,后期甚至串联四种不同代理工具访问内部网段。尽管攻击者渗透了OT相邻系统所在的网络分区,但尚未发现其侵入OT网络的证据。
分析显示,大部分恶意活动为人工键盘操作(依据命令错误及规律工作时间判断),且攻击者可能早在2021年5月15日已获得网络访问权限。Fortinet强调:“攻击者在整个入侵过程中展现出极高的战术素养,通过定制化工具链维持持久性并规避检测,其操作纪律性暗示该组织可能具有国家背景或掌握充足资源。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
