Cooperate with us < I >

Focusing on product research and development in the field of information security, we are committed to providing professional information security products, solutions, technical advisory services for government, military and other secret-related units, as well as other enterprises and institutions.

Do you want to talk to us about the field of information security and file encryption?

You can fill in the form on the right to let us know your project requirements and we will contact you as soon as possible. Of course, you are also welcome to call us at 400.

You can also contact us through the following channels:

Address: 7th Floor, Zone B, Innovation Building, Phase I Pearl Bay Software Park, Siming District, Xiamen

Tel: 400-666-0170/0592-2565820

Official website: www.tipray.com

Customer service: sales@tipray.com

Market cooperation: market@tipray.com

Quickly submit your requirements ↓

报告称黑客组织APT27通过入侵国家数据中心攻击中亚国家政府网站

Release time:2018-06-19 source: Browse times:2196


卡巴斯基实验室的研究人员在本周三(613日)发表的一篇文章中指出,他们在今年3月份发现了一起针对某中亚国家数据中心的持续性网络间谍活动,目标是在该国的政府网站上实施水坑攻击(Watering Hole Attack),以获取广泛的政府资源。

研究人员表示,他们相信这起活动在时间上可以追溯到2017年秋季,并将其归因于一个被认为是由中国人组成的黑客组织——APT27

APT27,通常被称为LuckyMouse,也被称为Iron TigerEmissaryPandaThreat Group-3390。该组织被认为自2010年起至今一直保持活跃,攻击目标针对了全球数百个组织,包括美国国防承包商、金融服务公司、欧洲无人机制造商以及一家法国能源管理公司在美国的子公司。

文章指出,遭入侵的数据中心只是作为实际攻击的跳板,攻击者的最终目的是将恶意JavaScript代码注入与其相关的官方政府网站中,以实施水坑攻击——将网站访问者从合法政府网站重定向到提供恶意软件的页面。

研究人员表示,他们目前还无法确定该数据中心是如何被攻陷的,但相信攻击者可能使用了两种方法:第一种方法,就是上述的水坑攻击,数据中心某些内部员工的账户可能因此遭到劫持;第二种方法,可能涉及到网络钓鱼攻击,基于恶意的Office文档。例如,自201712月以来,一个被公开披露的Office远程代码执行漏洞CVE-2017-11882就已经被APT27使用过。

另外,APT27在这起攻击活动中被指使用了HyperBro木马,以在受感染系统上建立持久性,并为远程管理创建途径。样本的时间戳范围从201712月到20181月,研究人员发现的痕迹表明,HyperBro木马在201711月中旬就已经进入了该数据中心的系统。

初始模块会部署三个的文件(被认为是中国黑客常用的):一个合法的Symantec pcAnywhere IntgStat.exe)用于DLL加载,一个.DLL启动程序(pcalocalresloader.dll)和最后一阶段的解压缩程序(thumb.db)。在完成所有这些步骤之后,最后阶段的木马将被注入到svchost.exe的进程内存中。

受感染的政府网站会将该国的访问者重定向到浏览器利用框架BeEF(一款能够利用浏览器漏洞渗透测试工具)或能够执行与键盘记录器相同任务的扫描框侦察框架ScanBox

文章最后指出,国家数据中心是一种宝贵的文件加密数据来源,但同样也可能被滥用来损害政府网站。APT27最近一直非常活跃,将国家数据中心作为攻击跳板表明,他们可能已经找到了一种更新、更隐蔽的方法来感染中亚国家地区的受害者。

Recommended news

航班追踪服务Flightradar24遭遇数据泄露 称超过23万用户受影响

2018-06-22

Flightradar24可以说是目前全球最受欢迎的航班跟踪服务之一,它借助谷歌地图与航空信息,使得用户不但能...

搞事情!美军事数据库遭泄,网络监控数据曝光!

2017-12-18

UpGuard公司安全研究员克里斯·维克瑞表示,他发现三台隶属于美国国防部(简称DoD)的错误配置Amazon S...

怎样才能选到好的上海图纸加密机构?

2018-03-14

在小到生活用品大到机械设计、建筑工程等诸多领域都会有关键性的图纸设计过程,而保障商业机密的上海图纸加密机构就是保护...

Mozilla发布Firefox Monitor隐私数据泄露通知服务

2018-09-26

自Mozilla宣布向Firefox用户提供数据泄露通知系统已经过去将近一年了,现在测试过程基本结束,Mozill...

克罗地亚明星足球运动员洛夫伦身陷盗号风波

2018-07-10

目前在2018俄罗斯世界杯上为克罗地亚国家队效力的德扬·洛夫伦(Dejan Lovren)已经成...



Copyright ©2006-2019 厦门天锐科技股份有限公司

在线
客服

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

Back to top