无纺布恶意软件攻击的字符串可能与单个黑客组相关联
过去几个月观察到的几个攻击依赖于PowerShell,开源工具和无用的恶意软件技术可能是一组黑客的工作。
安全研究人员从变形研究人员开始调查到最近的电子邮件网络钓鱼攻击,反对高调的企业,指出了一个使用几个安全公司在过去两个月的看似未连接的报告中所记录的技术的技术。
“在调查过程中,我们发现了一个复杂的无纺丝攻击框架,似乎与最近,讨论的攻击运动相连,”Michael Gorelik,Morphisec“的研发副总裁,在一个博客文章中说。“基于我们的调查结果,一组威胁演员对过去几个月的金融机构,政府组织和企业的许多最复杂的攻击负责。”
morphisec调查开始使用一个网络钓鱼电子邮件,分布了一个Microsoft Word文档,里面的恶意宏。打开后,文档要求受害者单击“启用内容”按钮以查看据称受保护的内容。这样做允许恶意嵌入代码执行。
从那时起,攻击使用了一系列以PowerShell编写的脚本,一个强大的脚本引擎包含在Windows中,通过注册表键设置持久性并与攻击者的服务器建立通信通道。
然后,攻击者下载并执行了各种开源工具,允许它们对系统进行更深入的调查,窃取当地存储的Windows凭据,并将反向shells打开到他们的服务器。
一些观察到的工具包括Mimikatz,Lazagne和MeterProker,流行的Metasploit渗透测试框架的有效载荷。这些程序直接加载到计算机的内存中,并在磁盘上留下任何痕迹。
3月,卡巴斯基实验室的研究人员报告了一系列隐形,无用的攻击来自世界各地的100多家企业,银行和政府组织。这些攻击使用了非常相似的技术和工具,包括PowerShell,Mimikatz和MeterPreter。
在Morphisec调查的攻击中,攻击者还使用了使用DNS TXT记录建立了双向通信通道的PowerShell脚本。在3月初的基于Powershell的攻击中,思科Talos的研究人员记录了类似的脚本,他们被称为Dnsmessenger。
FileFey Malware技术和DNS通信方法也由Fireeye在3月份的报告中描述了关于攻击来自各种美国组织的员工的攻击,其工作涉及证券和交换委员会(SEC)申请。Fireeye将这些攻击归因于经济上积极的攻击小组,该攻击集团在托盘名称下追踪一段时间。
以前的Fin7操作使用与卡尔巴坦卡巴斯基曲目相同的恶意软件,被认为是从金融组织和其他公司盗窃超过500万美元的责任。
Morphisec的研究人员无法建立本集团的身份,但与其中一个攻击者进行了短暂的互动。
“很明显,来自另一边的人在等待在他的测量仪会议上连接,”格雷利克说。“在短暂的互动过程中,我们的研究人员试图识别演员。攻击者立即阻止连接,然后完全关闭C2服务器,从而在连接到该通信服务器的受害者系统中丢失立足点。“
鉴于这些攻击,组织,特别是金融部门的组织应确保他们有监测系统,可以检测像Mimikatz和MeterProk这样的双用工具。它们还应监视未经授权的PowerShell脚本和直接在内存中加载的代码,在内存中不会在磁盘上创建可执行文件。