據外媒報道,著名安全公司ProofPoint近日發現了針對印度外交部及軍事網絡的威脅行動,該行動被稱為‘Operation Transparent Tribe’。
ProofPoint的安全專家們發現一個名為‘Operation Transparent Tribe(OTT)’的新型網絡安全威脅活動,該活動目標針對印度外交部與軍事部門的工作人員。研究人員們發現了他們進行黑客活動的痕跡并證實OTT在進行攻擊時使用了多種黑客技術來攻擊受害者,包括網絡釣魚郵件,watering hole 攻擊以及使用名為MSIL/Crimson的遠程訪問木馬(RAT)。
MSIL/Crimson RAT 在網絡間諜活動中可以實現各種數據的獲取,包括控制筆記本攝像頭,獲取屏幕截屏以及鍵盤記錄等。
研究人員最開始發現該項間諜活動是在2016年2月11日,他們注意到了兩起針對印度外交部駐沙特阿拉伯與哈薩克斯坦的網絡攻擊活動。
Proofpoint發現攻擊者的IP地址屬于巴基斯坦,這兩起攻擊使用的攻擊手法比較復雜,并且是大型攻擊的一部分。該大型攻擊還有依賴于watering hole的網站以及多種網絡釣魚郵件等。
Proofpoint威脅行動部副總監Kevin Epstein認為從攻擊者使用的方法以及被攻擊目標的本質可以判斷攻擊活動是由某個國家資助的。
“這是一起歷時多年,多維度的攻擊活動,很明顯是由某個國家支持的間諜活動,”Epstein在采訪中透露道。“在這個滿是惡意軟件的世界中,你極少能看到如此復雜的攻擊。顯而易見,這是由國家支持的多維度行動。”
國家支持的黑客攻擊正在成為針對他國政治問題等收集情報的主要手段。
ProofPoint發現了這起行動并發現其在APT方面的顯著努力,他們建立了多個網站來運營MSIL/Crimson RAT。
在其中一個案例中,OTT背后的ATP使用了惡意郵件來傳播RTF文檔,該文檔通過了微軟ActiveX漏洞(CVE-2012-0158),使目標機器感染惡意軟件。
MSIL/Crimson是一款包含多階段的惡意軟件,首先該惡意軟件會感染用戶的計算機,然后下載功能更加強大的遠程控制木馬組件。
攻擊者還通過運行惡意RAT的流氓Blog新聞網站及其他印度重要網站進行攻擊。
點擊閱讀Operation Transparent Tribe報告。
Watering hole attacks:針對目標為一個組織的攻擊,攻擊者通過猜測或觀察確定該組織經常訪問的網站,然后在這些網站中植入惡意軟件實現對該組織電腦的感染。
文章來源:SecrityAffairs,轉載請注明來自威客安全
京公網安備 11010502049343號