新闻快讯
< >

注意!你的网络可能已被间谍盯上

安全研究人员发现了一个新的、大规模的网络间谍活动,攻击目标包括各国外交部、国防公司、大型信息技术公司、学术机构、市政当局的分包商等政府机构及联合国的雇员。

注意!你的网络可能已被间谍盯上-E安全

该间谍活动被研究人员称为CopyKittens(又名Rocket Kittens),由伊朗的威胁组织发起。CopyKittens自2013年以来一直活跃在以色列、沙特阿拉伯、土耳其、美国、德国和约旦等国家。

趋势科技和以色列公司ClearSky联合发表了一份详细报告, 介绍了CopyKittens的攻击方式,包括各种工具、策略、控制集团基础设施的操作方式。

揭秘CopyKittens的攻击方式

“水坑攻击”+恶意软件传播

该组织使用不同的策略渗透他们的目标,其中包括对漏洞的攻击——将JavaScript代码插入到受攻击的网站中,以散布恶意攻击;该攻击方式被称为“水坑攻击”。

耶路撒冷邮报、Maariv新闻、IDF残疾退伍军人组织、甚至德国联邦信息安全办公室(BSI)都发布了安全警报。

除了“水坑攻击“外,CopyKittens还使用其他方法传递恶意软件,包括:

☛通过电子邮件,链接到由攻击者控制的恶意网站;

☛利用有缺陷的武器办公室文件(CVE-2017-0199);

☛利用漏洞扫描程序和SQLi工具,如Havij,sqlmap和Acunetix;

☛利用假的社交媒体实体,与目标建立信任关系,进而传播恶意链接。

趋势科技在博客文章中写道:“该组织使用以上方法,在多个平台持续瞄准同一受害者,直到成功建立起最初的感染带,然后再转向网络上的更高价值目标。”

自行开发恶意软件:Matryoshka版本翻新

为了感染其目标,CopyKittens利用自己的自定义恶意软件工具,结合现有的商业工具,如软件“Cobalt Strike,Metasploit”,之后开发代理Empire,TDTESS后门和凭据转储工具Mimikatz。

Matryoshka远程访问木马,是该组织自行开发的恶意软件之一。它使用DNS进行命令和控制(C&C)通信,能够窃取密码、捕获截图、记录击键、收集和上传文件,同时允许攻击者访问Meterpreter shell。

2015年,安全专家对恶意软件的初始版本进行综合分析,2016年7月至2017年1月,该恶意软件开始爆发增长。此外,间谍组织还开发并使用恶意软件Matryoshka的第二个版本。

为保护网络邮件账户不受攻击,用户被建议启用双重身份验证,因为这是黑客的宝贵信息,可以用来攻击其他目标。