新闻快讯
< >

GazaCybergang卷土重来,利用新工具打击新目标

E安全11月1日讯 黑客组织Gaza Cybergang(也称“加沙黑客团队”与“Molerats”) 据信与巴勒斯坦哈马斯组织有所关联,且此番卷土重来再次将矛头指向中东与北非(简称MENA)地区内的组织机构。

1.jpg

Gaza Cybergang或属巴勒斯坦武装组织

根据卡巴斯基公司专家们的观点,该黑客组织目前开始利用某些新型工具与技术手段。Gaza Cybergang似乎抱有政治动机,自至少自2012年以来一直保持活跃。但其在2015年第二季度的活跃度则远超正常水平。安全专家们推测,该组织很可能由巴勒斯坦的哈马斯武装组织所建立,旨在针对各欧洲与美国组织机构。

上一次出现相关新闻是在今年年初,当时Palo Alto Networks公司的安全专家们发现了一起新的网络间谍活动——被命名为DustySky行动,主要利用两种恶意软件打击政府机构:分别为名为Downeks的下载工具与名为QuasarRAT的远程访问工具(简称RAT)。

目标:中东及北非地区的石油与天然气企业

卡巴斯基方面一直在监控该集团的活动情况,并报告称该黑客组织的受害者为中东及北非地区的石油与天然气企业。在一年多时间内,这些黑客入侵了企业系统并不断提取大量企业内部信息。

Gaza Cybergang还将一款Android木马添加至自己的军备库当中——此木马由卡巴斯基公司于2017年4月在某台命令与控制(简称C&C)服务器上首次发现,该服务器可能被该集团用于攻击以色列军事目标。

卡巴斯基公司在发布的分析报告中指出,“2017年年中,这批攻击者被发现对中东及北非地区的一家石油与天然气企业实施攻击,且在一年多时间里持续入侵系统并窃取数据。这里发现了此前曾报告过的恶意软件文件:https://securelist.com/gaza-cybergang-wheres-your-ir-team/72283/”

“尽管发现了Android移动恶意软件的踪迹,但攻击者们一直使用Downeks下载工具与Quasar或Cobaltstrike RAT以打击Windows设备,从而保证其有能力以远程方式接入目标系统并从其中窃取数据。”

该黑客组织在攻击中使用包含恶意附件或链接的鱼叉式欺诈邮件。研究人员们报告称,在2017年3月之后的攻击当中,这批黑客开始使用特制的Office文件,以期利用宏传递恶意软件。

Gaza Cybergang卷土重来,利用新工具打击新目标-E安全

除了利用漏洞还具备高水平社会工程攻击能力

自2017年6月起,Gaza Cybergang还开始尝试触发CVE-2017-0199漏洞——此漏洞已经于今年4月被微软公司修复。

卡巴斯基补充称,“CVE 2017-0199漏洞的运用使得攻击者一方能够更为有效地在未安装修复补丁的受害者Windows系统上立足微软Office文档直接执行恶意代码。另外,对微软Access数据库文件的利用也使得攻击者始终保持着较低的被发现水平,因为这是一种相当常见的恶意软件传递方式。“这些发展将有助于攻击者持续发动攻击,针对各类受害者与组织机构,有时甚至能够绕过防御体系并长时间潜伏在目标系统之内。”

卡巴斯基最后总结称,“ Gaza Cybergang除了积极发展其攻击、基础设施与新型方法及技术利用手段之外,还展示出大量高水平社会工程攻击能力。攻击者正在积极改进其工具包,从而尽可能降低自身恶意活动被安全产品及服务所发现的可能性。”

根据卡巴斯基实验室的估计,此类攻击将在不久的未来实现质量与数量方面的双重增强。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。