无纺布恶意软件攻击的字符串可能与单个黑客组相关联
新加坡政府使大胆的云移动
英国和盟友在加密产品中呼叫后门
计划澳大利亚法律提高了科技公司的安全问题
NHS数字计划为450亿英镑的GP IT框架
超过1460亿令吉被盗在未来五年内
警察苏格兰阐述了10年的数字计划
Tesco Bank获得第一个网络相关的FCA
卫生秘书为NHS工作人员推出数字平台
一半的英国消费者在一年内行使GDPR权利
为什么英特尔正在购买15.3b美元的汽车愿景公司Mobileye
新加坡政府开始Bug赏金计划
苹果想要促进工作的健康应用
JP Morgan Fintech战略扩大了零售交易
澳大利亚企业准备Devops
A.I.计划启动启动企业的订阅
SAP将3月30日设置为其云平台SDK for iOS的启动日期
Apple修剪9.7英寸的18%。 iPad价格
复制不会保护VM抵御勒索
2018年英国最有影响力的女性:升起的明星
为什么笔记本电脑今年不会带来更大的SSD
增强和虚拟现实,以看到2021年的积极增长
Microsoft CEO Satya Nadella强调了分享数码转型财富的重要性
Intel声称存储速度记录与其大容量的Optane SSD
HPE引脚希望智能边缘作为混合策略平坦
Dridex:第一批银行木马,具有Atombombogment,以更好的逃避检测
对欧洲数据中心空间的高速公路需求为新纪录高昂的集电站
Cloudian的9400万美元的新资金来定位100pb规模的操作
脱氧核糖核酸:未来的硬盘
Heineken和Oracle为Polo Events创建了Chatbot Helper
语言障碍不会阻止荷兰聊天
在新思科,文化与创新一样重要
CIA制作的恶意软件?现在杀毒供应商可以了解
Interxion董事总经理说,随着公司想要更好的延迟,城市枢头派对空间
宏的Chrome阻止Rogue AD注射和设置更改
Apple抓住ICLoud.net域以巩固与同步和存储服务的链接
Microsoft为CRM Bugs发布多个修复,包括Win10紧急补丁KB 4016635
Nordic Fintech成为一个重要的全球运动员
Cobalt Cyber​​ Heist Group安装新的活动
华为看到切换到闪存,尽可能重新思考整个存储基础架构
现在是时候打开https:好处非常值得努力
谷歌提醒国家赞助攻击的公司对G套房用户
Apple联合创始人说,教育不鼓励创造性思维
应用程序是网络攻击者的商业数据网关
使用软件定义的存储驯服数据野兽
英国安全审查IT系统失败,说Nao
研究发现,消费者接受欺诈危险随着在线购物的增加
美国参议员探测到Cloudpets智能玩具黑客
将蓝牙5添加到Raspberry PI 3或使用此新芯片创建小工具
Tibco来解决区间挑战
您的位置:首页 >科技 > 技术前沿 >

无纺布恶意软件攻击的字符串可能与单个黑客组相关联

2021-08-12 15:44:21 [来源]:

过去几个月观察到的几个攻击依赖于PowerShell,开源工具和无用的恶意软件技术可能是一组黑客的工作。

安全研究人员从变形研究人员开始调查到最近的电子邮件网络钓鱼攻击,反对高调的企业,指出了一个使用几个安全公司在过去两个月的看似未连接的报告中所记录的技术的技术。

“在调查过程中,我们发现了一个复杂的无纺丝攻击框架,似乎与最近,讨论的攻击运动相连,”Michael Gorelik,Morphisec“的研发副总裁,在一个博客文章中说。“基于我们的调查结果,一组威胁演员对过去几个月的金融机构,政府组织和企业的许多最复杂的攻击负责。”

morphisec调查开始使用一个网络钓鱼电子邮件,分布了一个Microsoft Word文档,里面的恶意宏。打开后,文档要求受害者单击“启用内容”按钮以查看据称受保护的内容。这样做允许恶意嵌入代码执行。

从那时起,攻击使用了一系列以PowerShell编写的脚本,一个强大的脚本引擎包含在Windows中,通过注册表键设置持久性并与攻击者的服务器建立通信通道。

然后,攻击者下载并执行了各种开源工具,允许它们对系统进行更深入的调查,窃取当地存储的Windows凭据,并将反向shells打开到他们的服务器。

一些观察到的工具包括Mimikatz,Lazagne和MeterProker,流行的Metasploit渗透测试框架的有效载荷。这些程序直接加载到计算机的内存中,并在磁盘上留下任何痕迹。

3月,卡巴斯基实验室的研究人员报告了一系列隐形,无用的攻击来自世界各地的100多家企业,银行和政府组织。这些攻击使用了非常相似的技术和工具,包括PowerShell,Mimikatz和MeterPreter。

在Morphisec调查的攻击中,攻击者还使用了使用DNS TXT记录建立了双向通信通道的PowerShell脚本。在3月初的基于Powershell的攻击中,思科Talos的研究人员记录了类似的脚本,他们被称为Dnsmessenger。

FileFey Malware技术和DNS通信方法也由Fireeye在3月份的报告中描述了关于攻击来自各种美国组织的员工的攻击,其工作涉及证券和交换委员会(SEC)申请。Fireeye将这些攻击归因于经济上积极的攻击小组,该攻击集团在托盘名称下追踪一段时间。

以前的Fin7操作使用与卡尔巴坦卡巴斯基曲目相同的恶意软件,被认为是从金融组织和其他公司盗窃超过500万美元的责任。

Morphisec的研究人员无法建立本集团的身份,但与其中一个攻击者进行了短暂的互动。

“很明显,来自另一边的人在等待在他的测量仪会议上连接,”格雷利克说。“在短暂的互动过程中,我们的研究人员试图识别演员。攻击者立即阻止连接,然后完全关闭C2服务器,从而在连接到该通信服务器的受害者系统中丢失立足点。“

鉴于这些攻击,组织,特别是金融部门的组织应确保他们有监测系统,可以检测像Mimikatz和MeterProk这样的双用工具。它们还应监视未经授权的PowerShell脚本和直接在内存中加载的代码,在内存中不会在磁盘上创建可执行文件。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。