搜狐首页 科技 无心法师2

手机搜狐

SOHU.COM

“魔法猎犬”运动背后的伊朗黑客与Shamoon有联系

作者:PierluigiPaganini由悬镜安全实验室独家翻译,如需转载,请标注转载地址:http://www.xmirror.cn/

PaloAltoNetworks的安全专家发现了一个与伊朗有关的网络间谍活动,针对中东地区的几个组织。

间谍活动被称为魔法猎犬,至少可以追溯到2016年中期。 黑客面向能源,政府和技术行业的组织,所有目标都位于沙特阿拉伯或对沙特阿拉伯感兴趣。

攻击者利用各种各样的自定义工具和一个开源的跨平台远程访问工具(RAT),被称为Pupy为魔法猎犬运动。

“根据开发人员,PupyRAT是一个”多平台(Windows,Linux,OSX,Android),多功能RAT和后开发工具,主要用Python编写。“CTU?分析证实PupyRAT可以给威胁actor完全 访问受害者的系统“读取SecureWorks发布的分析。

威胁演员的武器包括不同类型的定制工具,如滴管,下载器,可执行加载器,文档加载器和IRC机器人。

“Unit 42发现了一个持续的攻击活动,主要在中东运行,可追溯到至少2016年中期,我们命名为Magic Hound。

这似乎是一个针对间谍活动的攻击活动。 基于我们的知名度,它主要面向能源,政府和技术行业的组织,这些组织在沙特阿拉伯或在沙特阿拉伯的企业利益。“读取PaloAlto Networks发布的分析。

“基础设施和工具的链接分析也揭示了Magic Hound和对手小组”Rocket Kitten“(AKA Operation Saffron Rose,Ajax Security Team,Operation Woolen-Goldfish)之间的潜在关系,以及一个称为Newscasters的旧攻击活动。

同一个活动也由SecureWorks的专家进行监控,将其归因于跟伊朗政府相关的被跟踪为“COBALT GYPSY”的威胁者。

魔法猎犬背后的攻击者使用Word和Excel文档嵌入恶意宏,能够使用PowerShell下载和执行其他工具。

诱饵文件似乎是来自沙特阿拉伯卫生部和商务部的节日贺卡,工作机会和官方政府文件。

恶意文件似乎是来自沙特阿拉伯卫生部和商务部的节日贺卡,工作机会和官方政府文件。

专家们发现的一个有趣的发现是,“魔法猎人”运动中使用的一些领域也被IBM X-Force研究人员在Shamoon 2攻击链的分析中发现。

据Palo Alto Networks的专家说,在Magic Hound活动中使用的IRC bot非常类似于Newscaster,也被称为Charming Kitten和NewsBeef使用的一种恶意软件,这是一个针对美国,以色列和其他国家的个人的伊朗演员假社交媒体资料。

伊朗黑客在这个时期表现非常活跃,迷人的小猫和火箭小猫演员在MacDownloader分析中提到从Mac电脑exfiltrate数据使用。

欢迎大家关注悬镜安全实验室公众号,最新安全动态,技术干货,悬镜使用攻略。在使用悬镜服务器卫士的过程中,如遇到任何问题,都可以加入我们的官方用户群【539903443】进行咨询,我们都会有专门的人员帮您解答。

精选