1. 首页
2. 新闻资讯
3. 安全资讯
4. 针对亚洲政府的网络间谍活动已长达近两年之久

针对亚洲政府的网络间谍活动已长达近两年之久

发布日期：2022-09-26

自 2021 年初以来，一个网络间谍组织以多个亚洲国家的政府和国有组织为目标。

此前与 ShadowPad 远程访问木马 (RAT) 有关联的一组独特的间谍攻击者采用了一种新的、多样化的工具集，在许多亚洲国家发起了针对一系列针对政府和相关组织的持续活动。这些攻击至少从 2021 年初就开始了，它们的主要目标似乎是收集情报。该消息来自赛门铁克的威胁猎手团队，该团队昨天早些时候发布了有关威胁的新公告。

攻击者使用范围广泛的合法工具在针对与金融、航空航天和国防相关的政府机构以及国有媒体、IT 和电信公司的攻击中传递恶意软件。

攻击者使用动态链接库 (DLL) 侧载来传递恶意代码。该技术看到威胁行为者将恶意 DLL 放置在预期可以找到合法 DLL 的目录中。然后攻击者运行一个合法的应用程序来加载和执行恶意负载。针对缺乏针对 DLL 侧载攻击的缓解措施的旧版本和过时版本的安全解决方案、图形软件和 Web 浏览器。

一旦攻击者加载了恶意 DLL，就会执行恶意代码，进而加载 .dat 文件。该文件包含任意 shellcode，用于在内存中执行各种有效负载和相关命令。在某些情况下，任意 shellcode 都会被加密。

此外，攻击者还利用这些合法软件包部署额外的工具（凭证转储工具、网络扫描工具，如 NBTScan、TCPing、FastReverseProxy 和 FScan，以及 Ladon 渗透测试框架），用于执行横向移动。一旦攻击者建立后门访问权限，他们就会使用 Mimikatz 和 ProcDump 来获取凭据并获得对目标网络的更深层次的访问权限。在某些情况下，威胁参与者还通过注册表转储凭据。

专家还观察到攻击者使用 PsExec 运行旧版本的合法软件来加载现成的 RATS。

网络间谍还使用 Ntdsutil 等一些非本地工具来挂载 Active Directory 服务器的快照，以便访问 Active Directory 数据库和日志文件，并使用 Dnscmd 命令行工具来枚举网络区域信息。

专家们还分享了针对亚洲教育部门政府所有组织的攻击的详细信息。入侵从 2022 年 4 月持续到 2022 年 7 月，在此期间，攻击者在访问域控制器之前访问了托管数据库和电子邮件的机器。

攻击者还使用11年前的 Bitdefender Crash Handler（“javac.exe”）版本来运行 Mimikatz 和 Golang 渗透测试框架LadonGo。

在该地区的间谍活动中，使用合法应用程序来促进 DLL 侧载似乎是一种增长趋势。虽然是一种众所周知的技术，但鉴于其目前的流行程度，它一定会为攻击者带来一些成功。鼓励组织彻底审核在其网络上运行的软件并监控异常值的存在，例如组织未正式使用的旧的、过时的软件或软件包。

赛门铁克在文档中包含了危害指标，以帮助公司保护其系统免受这些攻击。它们可在咨询的原始文本中找到。黑客活动并不是近几个月来唯一针对亚洲的活动。6 月，卡巴斯基发现了针对亚洲不同国家未打补丁的 Microsoft Exchange 服务器的攻击活动。
信息来源于：E安全

上一篇：日常互联网数据信息安全知识

下一篇：Google和Meta因违反韩国个人信息保护法面临千亿韩元罚款

相关新闻

• 勒索软件攻击事件为何不断增加
• 全球石油巨头因网络攻击损失超2.5亿元
• 39秒黑客就会攻击一次，每天造成1800万美元的损失
• 施*德电气遭数据勒索：开发平台访问凭证暴露 40GB数据失窃
• 25家跨国企业数据泄露，MOVEit漏洞引发重大安全危机
• 《个人信息保护法》施行三周年，SSL证书筑牢个人信息 “安全堤”
• 数据泄露事件频发 我们如何防患于未然
• 遭勒索攻击后，秘鲁国际银行承认数据泄露
• 一机场集团疑遭勒索软件攻击，旗下13个机场紧急切换备用系统
• 诺*亚正在调查一起数据泄露事件