新发现网络(新发现的网络间谍团队的目标是亚洲相关部门和公司)
Posted
篇首语:缥帙各舒散,前后互相逾。本文由小常识网(cha138.com)小编为大家整理,主要介绍了新发现网络(新发现的网络间谍团队的目标是亚洲相关部门和公司)相关的知识,希望对你有一定的参考价值。
新发现网络(新发现的网络间谍团队的目标是亚洲相关部门和公司)
自2020年以来,一个网络间谍组织一直以亚洲各地的部门机构和知名企业为目标,利用微软Exchange中臭名昭著的ProxyShell漏洞获得初始访问权限。
根据ESET的说法,被称为Worok的船员可能与TA428有关,ta 428被认为是一个类似的组织。
2021年初,在ProxyShell(CVE-2021-34523)的漏洞被揭露后,网络安全软件厂商的威胁情报研究人员看到了一系列高级持续威胁(APT)团体的活动,其中一个与TA428有一些相似之处,如共同的活动时间、目标的垂直方向以及利用ShadowPad进行的许多间谍活动中使用的后门。
但是,该组织使用的其他工具与TA428使用的工具不同。
ESET的恶意软件研究员Thibaut Passilly在周二的一份报告中写道:“我们认为这些联系不足以将Worok视为与TA428相同的群体,但这两个群体可能共享工具,有共同的兴趣。”。"我们决定创建一个集群,并将其命名为工作."
研究人员随后通过使用同一工具的变体,将其他攻击与Worok联系起来,并得出结论,该组织自2020年底以来一直存在,并且仍然活跃。
Worok的工具集包括C++加载器CLRLoad;PowHeartBeat,PowerShell后门;还有PNGLoad,一个C#。NET loader,它使用隐写术(将一个消息隐藏在另一个消息中)从PNG文件中提取隐藏的恶意负载。
帕西格利写道:“考虑到目标的个人数据和我们看到的为这些受害者部署的工具,我们认为Worok的主要目标是窃取信息。”。
2020年底,该集团瞄准了东亚的一家电信公司、中亚的一家银行和东南亚的一家航运公司。在中东还有一个实体,在南部非洲有一个私人公司。
2021年5月至1月,Worok的活动暂停,之后又回来攻击中亚的一家能源公司和东南亚的一家公共部门实体。
虽然在2021年和2022年的一些案例中利用了ProxyShell漏洞,但在大多数情况下,间谍组织如何获得受害者网络的初始访问权限仍是未知的。在这些情况下,Webshell在利用漏洞后被上传,以确保其在受损网络中的持久性。
Passigli说,一旦进入,Worok操作员就使用各种公开可用的工具,如Mimikatz、蚯蚓、ReGerog和NBTscan,进行侦察。然后,该组织部署其定制恶意软件,包括第一阶段加载程序。最初,用C++编写的通用窗口CLRLoad加载下一阶段PNGLoad,它必须是公共语言运行时(CLR)程序集DLL文件。
他写道:“(PNGLoad)代码是从一个合法目录下的磁盘上的一个文件中加载的,可能是通过使用隐写术来误导受害者或事件响应者,让他们认为这是一个合法的软件。”。
在2022年的后续攻击中,PowHeartBeat替换了用PowerShell编写的全功能后门CRLLoad,通过压缩、编码、加密等技术用于混淆。它也用于启动PNGLoad。
此外,PowHeartBeat对日志和其他配置文件的内容进行加密,并且可以删除、重命名或移动文件。它还通过ICMP与命令和控制(C2)服务器通信,最初通过HTTP,后来通过PowHeartBeat版。据Passigli称,在这两种情况下,通信都没有加密。
然而,目前还不清楚最终的有效载荷是什么。
帕西格利写道,“我们拿不到样本。与PNGLoad一起使用的png文件,但png load的操作方式表明它应该与有效的png文件一起使用。。“为了隐藏恶意有效载荷,Worok在C#中使用了位图对象,这些对象只从文件中获取像素信息,而不是文件元数据。这意味着Worok可以将其恶意有效载荷隐藏在有效且无害的PNG图像中,从而隐藏在普通人的视线中。”
ESET认为Worok是一个网络间谍组织,基于其在亚洲和非洲的高调目标以及对实体的重视。虽然它可能与TA428有关,但评估的可信度较低。
最近,今年早些时候,TA428是东欧和阿富汗一系列网络间谍攻击的幕后黑手。卡巴斯基的研究人员在上个月的一份报告中表示,该组织的目标是白俄罗斯、俄罗斯和乌克兰等国的工业工厂、研究所和机构。
相关参考
水分对生物的影响举例(新发现的星球,它的30%都是水,仅100光年远,或存在生命)
在国际期刊《天体物理学杂志》当中宣布了一个新发现的超级地球,并且这一颗新的天体,它当中有30%都是水,它离地球距离的仅仅在100光年。对于这一个星球的发现,最主要的是在它的物质含量中有非常多的水,这让人觉得或...
特色干锅鸡的做法(自制版干锅鸡块,新发现的做法多加一味调料,麻辣香脆真香)
自制版干锅鸡块,新发现的做法多加一味调料,麻辣香脆真香自制版干锅鸡块,多加一味调料,麻辣香脆不必饭店的差舌尖寻味,一起品味。大家好这里是美食吧。最近待在家里实在无聊,也不知道要吃什么了。家人说每天睡了...
特色干锅鸡的做法(自制版干锅鸡块,新发现的做法多加一味调料,麻辣香脆真香)
自制版干锅鸡块,新发现的做法多加一味调料,麻辣香脆真香自制版干锅鸡块,多加一味调料,麻辣香脆不必饭店的差舌尖寻味,一起品味。大家好这里是美食吧。最近待在家里实在无聊,也不知道要吃什么了。家人说每天睡了...
汕浘市废ps版回收(深入贯彻落实新发展理念 交通通信实现跨越式发展)
深入贯彻落实新发展理念交通通信实现跨越式发展——党的十八大以来经济社会发展成就系列报告之六党的十八大以来,在以习近平同志为核心的党中央坚强领导下,交通运输业和邮电通信业取得了举世瞩目的成就,基础设施网...
张家港大和特种胶带(张家港黄泗浦遗址入选“全国十大考古新发现”)
...黄泗浦遗址经过层层选拔,入选2018年度“全国十大考古新发现”。这是继昆山张浦赵陵山良渚文化遗址、张家港东山村遗址、木渎春秋古城遗址被评选为当年全国十大考古新发现之后,苏州市相关古遗址第四次入选“全国十大...
平面圈(走进宝墩遗址 看文明之光如何照亮成都平原|文化和自然遗产日)
6月11日是中国“文化和自然遗产日”,“古蜀文明新发现”系列考察活动今天启动,考察活动首站走进位于新津的成都文物考古研究院宝墩遗址考古工作站。诸多学界、业界专家学者,亲临古蜀文明新发现的考古现场,见证宝墩...
有害气体(中国科学家新发现:通过绿色途径利用天然气中有害气体)
中新社大连3月21日电(王永进)中科院大连化学物理研究所(以下简称“大连化物所”)21日对外发布消息称,中国科学院院士、大连化物所催化基础国家重点实验室主任李灿,研究员宗旭、马伟光等人利用电催化技术将天然气中的二...
陕西石峁遗址又有考古新发现,考古工作者日前在石峁遗址的核心区域皇城台的大台基护墙上新发现了一件大型人面石雕。石雕本体呈圆弧形,镶砌于皇城台大台基西南角的墙体之上。目前这件石雕已发掘出两个相邻的人面浮雕...
陕西石峁遗址又有考古新发现,考古工作者日前在石峁遗址的核心区域皇城台的大台基护墙上新发现了一件大型人面石雕。石雕本体呈圆弧形,镶砌于皇城台大台基西南角的墙体之上。目前这件石雕已发掘出两个相邻的人面浮雕...
汽车除碳剂(新发现发动机修复剂,专治启动、加速时汽车冒蓝烟)
...彻底治理。2003年,无论是柴油发动机还是汽油发动机,新发现汽车养护品牌推出了专治冷启动、加速冒蓝烟的专业治理的产品—新发现发动机修复剂。新发现发动机修复剂投放市场以来,受到了大江南北全国各地广大用户的好...