Cooperate with us < I >

Focusing on product research and development in the field of information security, we are committed to providing professional information security products, solutions, technical advisory services for government, military and other secret-related units, as well as other enterprises and institutions.

Do you want to talk to us about the field of information security and file encryption?

You can fill in the form on the right to let us know your project requirements and we will contact you as soon as possible. Of course, you are also welcome to call us at 400.

You can also contact us through the following channels:

Address: 7th Floor, Zone B, Innovation Building, Phase I Pearl Bay Software Park, Siming District, Xiamen

Tel: 400-666-0170/0592-2565820

Official website: www.tipray.com

Customer service: sales@tipray.com

Market cooperation: market@tipray.com

Quickly submit your requirements ↓

报告称黑客组织APT27通过入侵国家数据中心攻击中亚国家政府网站

Release time:2018-06-19 source: Browse times:2093


卡巴斯基实验室的研究人员在本周三(613日)发表的一篇文章中指出,他们在今年3月份发现了一起针对某中亚国家数据中心的持续性网络间谍活动,目标是在该国的政府网站上实施水坑攻击(Watering Hole Attack),以获取广泛的政府资源。

研究人员表示,他们相信这起活动在时间上可以追溯到2017年秋季,并将其归因于一个被认为是由中国人组成的黑客组织——APT27

APT27,通常被称为LuckyMouse,也被称为Iron TigerEmissaryPandaThreat Group-3390。该组织被认为自2010年起至今一直保持活跃,攻击目标针对了全球数百个组织,包括美国国防承包商、金融服务公司、欧洲无人机制造商以及一家法国能源管理公司在美国的子公司。

文章指出,遭入侵的数据中心只是作为实际攻击的跳板,攻击者的最终目的是将恶意JavaScript代码注入与其相关的官方政府网站中,以实施水坑攻击——将网站访问者从合法政府网站重定向到提供恶意软件的页面。

研究人员表示,他们目前还无法确定该数据中心是如何被攻陷的,但相信攻击者可能使用了两种方法:第一种方法,就是上述的水坑攻击,数据中心某些内部员工的账户可能因此遭到劫持;第二种方法,可能涉及到网络钓鱼攻击,基于恶意的Office文档。例如,自201712月以来,一个被公开披露的Office远程代码执行漏洞CVE-2017-11882就已经被APT27使用过。

另外,APT27在这起攻击活动中被指使用了HyperBro木马,以在受感染系统上建立持久性,并为远程管理创建途径。样本的时间戳范围从201712月到20181月,研究人员发现的痕迹表明,HyperBro木马在201711月中旬就已经进入了该数据中心的系统。

初始模块会部署三个的文件(被认为是中国黑客常用的):一个合法的Symantec pcAnywhere IntgStat.exe)用于DLL加载,一个.DLL启动程序(pcalocalresloader.dll)和最后一阶段的解压缩程序(thumb.db)。在完成所有这些步骤之后,最后阶段的木马将被注入到svchost.exe的进程内存中。

受感染的政府网站会将该国的访问者重定向到浏览器利用框架BeEF(一款能够利用浏览器漏洞渗透测试工具)或能够执行与键盘记录器相同任务的扫描框侦察框架ScanBox

文章最后指出,国家数据中心是一种宝贵的文件加密数据来源,但同样也可能被滥用来损害政府网站。APT27最近一直非常活跃,将国家数据中心作为攻击跳板表明,他们可能已经找到了一种更新、更隐蔽的方法来感染中亚国家地区的受害者。

Recommended news

美国医疗保健公司Blue Springs Family Care近4.5万条记录遭泄露

2018-07-31

Blue Springs Family Care是一家位于美国密苏里州的医疗保健公司,成立于1979...

苹果去年共抓了 29 名内鬼,泄密者下场凄惨

2018-04-16

苹果公司内网近日 Po 出一份备忘录,披露该公司在去年共「抓获 29 名泄密者」,有 12 名前...

Aadhaar数据泄露:印度210个政府网站公开披露公民私人信息

2017-11-21

E安全11月21日讯 数据安全越来越被重视,个人数据除了“被动”泄露以外,还能被数据责任方因缺乏安全意识“主动”泄...

过完年黑客也开工了,国内两家医院连遭比特币勒索

2018-02-27

近日,湖北襄阳南漳县人民医院系统被植入升级版勒索病毒后陷入瘫痪,黑客要求支付比特币才能恢复正常。据称这次勒索的比特...

美国土安全部超过24万员工的个人数据被泄

2018-01-09

美国国土安全部(DHS)于美国当地时间2018年1月3日发表声明称,其下属监察长办公室(OIG)2014年遭遇一起...



Copyright ©2006-2019 厦门天锐科技股份有限公司

在线
客服

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

Back to top