据外媒报道,与巴勒斯坦伊斯兰抵抗运动组织哈马斯有关的阿拉伯黑客组织加沙网络黑帮 Gaza Cybergang 近日重返江湖,其攻击目标定位为中东与北非(MENA)地区。
Gaza Cybergang( 又名 “ Gaza 黑客军团 ”或 Molerats )疑似政治黑客,早在 2012 年就处于活跃状态,自 2015 年第二季度起影响不断加剧,主要攻击目标为政府实体/使馆、石油与天然气、媒体/新闻出版机构、政客与外交官等。据推测,该组织可能由巴勒斯坦哈马斯军方组成,欧洲与美国组织机构也受到不同程度影响。调查显示,黑客广泛搜集情报,配合使用高级社工等方式通过含有宏病毒的 Office 附件或恶意链接的鱼叉式网络钓鱼邮件展开攻击。
今年初,网络安全公司 Palo Alto Networks 发现黑客组织 Gaza Cybergang 利用恶意软件 DustySky 开展新兴网络间谍活动。据悉,他们通过 Downeks 下载器与 Quasar 或 Cobaltstrike 远程访问工具(RAT)向政府机构的 Windows 设备发动攻击,以便获取远程访问与数据渗出能力。卡巴斯基表示,该组织主要针对 MENA 地区的石油天然气公司展开攻击活动。其黑客入侵公司系统后,渗出数据已长达一年之久。此外,Gaza Cybergang 武器库还于今年 4 月新增一款安卓木马,最初由卡巴斯基在一台命令与控制服务器上发现,很可能被用于针对以色列士兵。
自 6 月起,Gaza Cybergang 利用攻击链触发微软公司 4 月修复的漏洞 CVE 2017-0199。据称,这种做法更加行知有效,可通过未经修复的 Windows 系统直接实现代码执行能力。Microsoft Access 数据库文件可用于维持低级别检测,是传播恶意软件的常见方法。这些开发有助于黑客继续开展行动,甚至绕过传统防御,持续长时间作业。
专家坦言,由于黑客不断改善工具包、减少曝光率,近期此类攻击活动在数量与质量上都将有增无减。建议组织机构:提高安全防范意识、及时修复漏洞;使用成熟的企业级安全解决方案有针对性地分析、捕捉异常网络攻击事件;向雇员提供最新的威胁情报数据(例如入侵指标与 YARA 规则)以强化威胁防范与查找发现措施。
原文作者:Pierluigi Paganini,译者:游弋
source: hackernews.cc.thanks for it.