歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

伊朗相關網絡活動總結

來源:本站整理 作者:佚名 時間:2020-01-28 TAG: 我要投稿

隨著中東地區局勢緊張,人們十分關注伊朗是否會發動網絡攻擊。以下威脅總結包含與伊朗活動有關的歷史攻擊摘要,以及自2020年1月3日事件以來發生的任何新的威脅或攻擊。自2010年以來伊朗在全世界的網絡活動中一直很活躍。目前已經命名和發布了許多組織團體和活動,但是許多情況下仍然缺乏直接指向伊朗政府的證據,大多數判斷都依賴于針對目標和潛在動機的戰術證據。
其中一些當前活躍的組織團體和活動有:
OilRig (AKA APT34/Helix Kitten)
MagicHound (AKA APT35/Newscaster/Cobalt Gypsy)
APT33 (AKA Refined Kitten/Elfin)
DarkHydrus
Shamoon
MuddyWater (AKA Static Kitten)
這些組織團體有兩種不同的動機:間諜活動和破壞活動。大多數攻擊活動都與間諜活動有關,相關的組織團體正在繼續嘗試進入目標組織訪問敏感數據,同時也觀察到了少量高度集中的破壞性攻擊,從2012年的Shamoon攻擊以及最近的StoneDrill和ZeroCleare。
總體而言,過去十年來源自伊朗的網絡攻擊一直持續存在,其目標已經遍及全球所有主要行業。雖然在不久的將來可能會發生報復性行動,但極大程度上會與正在進行的攻擊活動結合在一起。
以下是常用的戰術、技術及其相關的ATT&CK ID列表:
Phishing (T1193 T1192)
Credential harvesting (T1078,T1003,T1503,T1081,T1214)
DNS Tunneling (T1071)
DNS Hijacking (T1326)
EldoS RawDisk driver (T1485,T1488,T1487,S0364)
Malicious macros (T1204)
Weaponized Excel and Word documents (T1204,T1221,T1173)
Script based backdoors (T1064,T1027)
Webshell deployment (T1108,T1133,T1190,T1027)
Domain masquerading (T1328)
Scheduled tasks (T1053)
Use of Mimikatz (T1003,T1207,T1098,T1081,S0002)
Exploitation of enterprise VPN Software (T1133,T1210)
緩解措施建議如下:
提高對網絡釣魚攻擊的教育和認識
在整個組織中啟用多因素身份驗證
在網絡安全設備中啟用憑據盜竊檢測功能
啟用異常DNS行為檢測/預防功能
將EldoS RawDisk驅動程序列入黑名單
執行查看宏文檔的安全策略
限制在終端上執行腳本文件
查看所有網絡應用程序并部署最新補丁
在網絡安全設備中啟用URL分類功能
掃描終端查找新的或未知的計劃任務
檢測Mimikatz相關的行為
盡快修補遠程公開軟件漏洞
相關組織詳情
OilRig(AKA APT34/Helix Kitten)
OilRig于2016年5月被發現命名。該組織活動非常持久,依賴魚叉式網絡釣魚作為其初始攻擊媒介,也有其他更復雜的攻擊例如憑據收集和DNS劫持。在魚叉式網絡釣魚攻擊中,OilRig使用Microsoft Office(Word和Excel)宏來安裝其自定義有效負載,這些有效負載可執行PE文件,PowerShell和VBScripts。 OilRig的自定義有效載荷經常將DNS隧道用作命令和控制(C2)通道。
獲得了訪問端點的權限,攻擊者就可以使用Mimikatz等工具收集帳戶憑據,橫向移動到網絡上的其他系統中。OilRig會安裝一個Webshel​​l作為另一個入口點,維護對網絡的訪問。
相關參考:
https://unit42.paloaltonetworks.com/behind-the-scenes-with-oilrig/
https://unit42.paloaltonetworks.com/dns-tunneling-in-the-wild-overview-of-oilrigs-dns-tunneling/
https://unit42.paloaltonetworks.com/unit42-analyzing-oilrigs-ops-tempo-testing-weaponization-delivery/
https://unit42.paloaltonetworks.com/unit42-oilrig-uses-updated-bondupdater-target-middle-eastern-government/
https://unit42.paloaltonetworks.com/unit42-oilrig-targets-middle-eastern-government-adds-evasion-techniques-oopsie/
https://unit42.paloaltonetworks.com/unit42-oilrig-targets-technology-service-provider-government-agency-quadagent/
https://unit42.paloaltonetworks.com/unit42-oopsie-oilrig-uses-threedollars-deliver-new-trojan/
https://unit42.paloaltonetworks.com/unit42-oilrig-uses-rgdoor-iis-backdoor-targets-middle-east/
https://unit42.paloaltonetworks.com/unit42-oilrig-performs-tests-twoface-webshell/
https://unit42.paloaltonetworks.com/unit42-oilrig-deploys-alma-communicator-dns-tunneling-trojan/
https://unit42.paloaltonetworks.com/unit42-oilrig-group-steps-attacks-new-delivery-documents-new-injector-trojan/
https://unit42.paloaltonetworks.com/unit42-striking-oil-closer-look-adversary-infrastructure/
https://unit42.paloaltonetworks.com/unit42-oilrig-uses-ismdoor-variant-possibly-linked-greenbug-threat-group/
https://unit42.paloaltonetworks.com/unit42-oilrig-actors-provide-glimpse-development-testing-efforts/
https://unit42.paloaltonetworks.com/the-oilrig-campaign-attacks-on-saudi-arabian-organizations-deliver-helminth-backdoor/
Magic Hound (AKA APT35/Newscaster/Cobalt Gypsy)
“Magic Hound”以魚叉式網絡釣魚郵件為傳遞手段,主要目標為能源,政府和技術組織。附件中啟用宏Microsoft Office文檔和PE文件,文檔和可執行文件將安裝各種工具,包括可移植的PE文件,.NET Framework PE文件,Meterpreter,IRC bot,開源Meterpreter模塊以及Pupy的開源Python RAT。
Magic Hound中使用的自定義工具顯示了該組織與其他活動的關聯,例如IRC Bot,它與NEWSCASTER的Parastoo工具非常相似。
相關參考:
https://unit42.paloaltonetworks.com/unit42-magic-hound-campaign-attacks-saudi-targets/
APT33(AKA Refined Kitten/Elfin)
APT33對航空和能源領域有濃厚興趣, 他們使用帶有域偽裝技術的魚叉式釣魚進行攻擊,將自定義工具與各種黑客論壇中出售的公共后門結合使用。 最近的一份報告發現該組織的攻擊基礎設施,該基礎設施利用了商業VPN以及受感染的系統作為代理,以進一步掩蓋其來源。
相關參考:

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 福建31选7怎么算中奖 辽宁体彩11选5走势图360 天津11选5中奖规则 pk10手机计划软件苹果 北京11选一定牛 广东快乐10分钟计划 江苏11选5任选跨度走势图 蓝筹股有哪些股票 上海快3遗漏号 今晚广东大乐透开奖结果