【安全资讯】研究人员将SideWalk后门归因于Grayfly组织

安恒威胁情报中心 2021-09-13 15:14:33 125人浏览

引言

8月底,一家位于美国的计算机零售公司成为SideWalk后门的攻击目标,ESET将该后门归因于一个名为SparklingGoblin的新组织,但近日,Symantec公司发表的最新研究将SideWalk后门归因于Grayfly组织。Grayfly至少自 2017 年 3 月以来一直活跃,是APT41组织的间谍机构。

 

简况

Grayfly(又名 GREF 和 Wicked Panda)是一个有针对性的攻击组织,至少自 2017 年 3 月以来一直活跃,是APT41组织的间谍机构,使用CROSSWALK自定义后门、Trojan.Chattak、Cobalt Strike自定义加载程序及其他辅助工具。Grayfly 的目标是亚洲、欧洲和北美的多个国家或地区,涉及食品、金融、医疗保健、酒店、制造和电信等各个行业。在最近的攻击活动中,Grayfly的主要目标为电信行业,也攻击了媒体、金融和 IT服务提供商领域的实体。

 

Grayfly通过攻击暴露的Microsoft Exchange或MySQL Web服务器来安装 Web shell以进行初始入侵,然后在网络中横向传播并安装SideWalk恶意后门,安装后门后,攻击者部署了自定义版本的凭证转储工具 Mimikatz,从而保持远程访问并窃取信息。此前,ESET公司分析的SideWalk的分段机制如下图:

总结

Grayfly组织对亚洲和欧洲各行业的实体构成巨大威胁,包括电信、金融和媒体行业。该组织很可能会继续开发和改进其自定义工具,以增强规避策略,同时使用诸如公开可用的漏洞和 web shell之类的商品工具来展开攻击。

失陷指标(IOC)5
APT Grayfly 后门 SideWalk 通信 IT行业 媒体行业 金融
0条评论
0
0
分享
安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。