据外媒 7 月 25 日报道,趋势科技(Trend Micro)与以色列安全公司 ClearSky 研究人员近期联合发布一份详细报告,指出伊朗 APT 组织 CopyKittens 针对以色列、沙特阿拉伯、土耳其、美国、约旦与德国等国家与地区的政府、国防与学术机构展开新一轮大规模网络间谍活动 “ Operation Wilted Tulip ”。
APT 组织 CopyKittens(又名:Rocket Kittens)至少从 2013 年以来就一直处于活跃状态,曾于 2015 年面向中东地区 550 个目标展开攻击。据悉,该报告详细介绍 CopyKittens 在新网络间谍活动中采取的主要攻击手段:
1、水洞攻击:通过植入 JavaScript 至受害网站分发恶意软件,其主要针对新闻媒体与政府机构网站。
2、Web 入侵:利用精心构造的电子邮件诱导受害者连接恶意网站,从而控制目标系统。
3、恶意文件:利用近期发现的漏洞(CVE-2017-0199)传播恶意 Microsoft Office 文档。
4、服务器漏洞利用:利用漏洞扫描程序与 SQLi 工具 Havij、sqlmap 与 Acunetix 有效规避 Web 服务器检测。
5、冒充社交媒体用户:通过与目标系统建立信任传播恶意链接。
趋势科技表示,为成功感染目标系统,CopyKittens 将自定义恶意软件与现有商业工具(如 Red Team 软件 Cobalt Strike、Metasploit、开发代理 Empire、TDTESS 后门与凭证转储工具 Mimikatz)结合,从多个平台向同一受害系统发动持续攻击,成功操控后转移至其他目标设备。
原作者:Mohit Kumar,编译:青楚,译审:游弋
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
from hackernews.cc.thanks for it.