【安全资讯】疑似伊朗Seedworm组织针对中东和亚洲电信公司进行间谍活动
引言
12月14日,研究人员披露了针对中东和亚洲电信和 IT 服务提供商的新间谍黑客活动。该活动已持续六个月,并且疑似与伊朗支持的Seedworm组织有关。
简况
此次活动的目标为以色列、约旦、科威特、沙特阿拉伯、阿联酋、巴基斯坦、泰国和老挝的组织,攻击者没有使用自定义恶意软件,而是依靠公开可用的合法工具、公开的恶意软件和离地攻击LotL策略。
大多数攻击中的感染媒介是未知的,只在一个目标上发现了疑似传播媒介的证据。一个可疑的ScreenConnect安装MSI似乎是通过一个名为“Special discount program.zip”的压缩文件传递的,这表明它是通过鱼叉式钓鱼邮件传播的。
针对电信公司的攻击
在 2021 年 8 月开始的针对中东一家电信公司的攻击中,攻击者创建了一项服务来启动未知的 Windows 脚本文件 (WSF)。攻击者使用 PowerShell 下载另一个 WSF 并运行,使用 Certutil 下载疑似 Ligolo 隧道工具并启动 WMI,用于获取远程机器执行以下任务:
- 执行 Certutil 下载未知文件
- 执行 Certutil 下载未知的 WSF 文件并执行 Wscript 以启动此脚本
- 执行 PowerShell 以下载和执行内容
- 执行 PowerShell 将可疑的 web shell 下载到 Exchange Server
针对电信组织的攻击的一个特点是,攻击者试图通过连接到同一地区的其他组织、电信运营商和电子设备公司的 Exchange Web Services (EWS) 来转向攻击其他目标。
疑似供应链攻击
攻击者的目标还包括一家老挝的公用事业公司。第一台似乎受到攻击的机器是 IIS Web 服务器,攻击者随后使用 PowerShell 执行以下操作:
- 下载疑似 Ligolo 隧道工具
- 下载未知的 PowerShell 脚本
- 下载未知的 XLS 文件
攻击者随后使用 PowerShell 连接到泰国一家组织的网络邮件服务器,还试图连接到属于泰国另一家公司的 IT 相关服务器。
工具集
攻击者大量使用合法工具和公开可用的黑客工具,包括:
- ScreenConnect:合法的远程管理工具
- RemoteUtilities:合法的远程管理工具
- eHorus:合法的远程管理工具
- Ligolo:反向隧道工具
- Hidec:用于运行隐藏窗口的命令行工具
- Nping:数据包生成工具
- LSASS Dumper:从本地安全机构子系统服务 (LSASS) 进程转储凭据的工具
- SharpChisel:隧道工具
- Password Dumper
- CrackMapExec:公开可用的工具,用于自动对 Active Directory 环境进行安全评估
- ProcDump:Microsoft Sysinternals 工具,用于监控应用程序的 CPU 峰值并生成故障转储,但也可用作通用进程转储实用程序
- SOCKS5 代理服务器:隧道工具
- 键盘记录器:检索浏览器凭据
- Mimikatz:公开可用的凭证转储工具
一些证据表明,伊朗 Seedworm 组织是此次活动的攻击者。Seedworm又名MuddyWater,此活动中使用的两个 IP 地址与 Seedworm 过去的活动相关联,且与早期的 Seedworm 活动之间的工具也有一些重叠。然而,Seedworm组织会定期更换其基础设施,因此研究人员无法做出确凿的归因。
总结
虽然该活动的最终目标仍然未知,但对电信运营商的关注表明,攻击者正在收集有关该行业的情报,并可能试图监控通信。