【安全资讯】TAG-100全球间谍活动:利用开源工具进行攻击
概要:
TAG-100是由网络安全公司Recorded Future新发现的一个网络间谍组织。该组织通过利用互联网设备的漏洞,针对全球高调的政府、跨政府和私营部门组织进行了一系列复杂的攻击。这些攻击不仅影响了多个国家的外交和行业组织,还对全球网络安全构成了重大威胁。主要内容:
TAG-100的主要攻击手段是利用互联网设备的漏洞获取初始访问权限,然后部署开源的远程访问工具如Pantegana和SparkRAT。这些设备包括Citrix NetScaler ADC和Gateway、F5 BIG-IP、Zimbra Collaboration Suite、Microsoft Exchange、SonicWall、Cisco ASA、Palo Alto Networks GlobalProtect和Fortinet FortiGate等。由于这些设备通常具有有限的可见性、日志记录能力和对传统安全解决方案的支持,使其成为威胁行为者的理想目标。TAG-100的攻击活动已经影响了至少十个国家的组织,包括亚太地区的两个主要跨政府组织的秘书处、外交实体、外交部、行业贸易协会、半导体供应链组织、非营利部门和宗教部门。TAG-100使用了多种开源和进攻性安全工具,包括Pantegana、SparkRAT和LESLIELOADER。这些工具支持跨平台的操作系统,并使用HTTPS进行命令和控制(C2)通信。
TAG-100还使用了传统的Windows Cobalt Strike Beacon有效载荷和开源的跨平台CrossC2生成的Linux系统Beacons。这种工具使用的多样性突显了该组织适应不同环境和目标的能力。尽管TAG-100的确切身份尚不明确,但其目标和战术的性质表明可能与国家支持的行为者有关。网络安全专家敦促组织优先考虑互联网设备的安全,实施强大的漏洞管理实践,并增强检测和响应能力,以减轻此类复杂网络威胁带来的风险。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享