網(wǎng)絡(luò)安全公司ThreatConnect發(fā)布報告指出,最近巴勒斯坦民族權(quán)力機構(gòu)(Palestinian Authority)選舉活動被新型惡意軟件Kasperagent攻擊。目前尚不清楚這起攻擊活動的始作俑者和確切目標。
Kasperagent的攻擊戰(zhàn)術(shù)
Kasperagent攻擊者使用的戰(zhàn)術(shù)包括:帶有惡意軟件的假新聞網(wǎng)站、帶有政治緊張局勢和加沙地區(qū)以色列暗殺等內(nèi)容的魚叉式網(wǎng)絡(luò)釣魚信息、以及加沙人注冊的攻擊基礎(chǔ)設(shè)施。
研究人員寫到,不清楚誰是這起活動的始作俑者,但研究人員挖掘被動DNS結(jié)果后發(fā)現(xiàn)了其命令與控制基礎(chǔ)設(shè)施的面包屑。
E安全注:反向DNS和被動DNS結(jié)果
Kasperagent的攻擊目標
去年,Kasperagent最初被安全公司Palo Alto Networks發(fā)現(xiàn)。這款惡意軟件瞄準Microsoft Windows系統(tǒng),被攻擊者用來攻擊美國、以色列、巴勒斯坦和埃及。最新的攻擊活動表明,這款惡意軟件的新變種已被用來攻擊中東地區(qū)的目標。
攻擊活動的發(fā)起時間恰逢加沙地區(qū)的日益緊張政治緊張局勢。以及上個月約旦河西岸的預(yù)備選舉預(yù)備。誘餌文件看似是官方政府的機密,這表明目標可能是政府雇員或承包商。
Kasperagent的攻擊過程
攻擊者在魚叉式網(wǎng)絡(luò)釣魚信息和假新聞網(wǎng)站中使用縮短URL,引導(dǎo)受害者下載Payload。Kasperagent允許攻擊者不同程度地監(jiān)視目標,包括竊取密碼、截圖、記錄擊鍵以及竊取文件。
當Palo Alto Networks最初發(fā)現(xiàn)Kasperagent時,他們還發(fā)現(xiàn)了另一個針對中東地區(qū)的惡意軟件家族Micropsia。
今年4月,ThreatConnect偶然發(fā)現(xiàn)一個惡意軟件文件“??????? ??????? ??????? ?????.r24”,翻譯過來的意思是“Fuqaha暗殺的完整細節(jié)”。
2017年3月24日伊斯蘭哈馬斯運動的軍事指揮官Mazen Fuqaha遭遇暗殺。之后,文件連接到一個域名,經(jīng)Palo Alto Networks確定,該域名為Kasperagent所用。
這起網(wǎng)絡(luò)攻擊活動中使用的幾個誘餌文件聲稱是巴勒斯坦民族權(quán)力機構(gòu)解決政治問題(例如Fuqaha之死)的“絕密”文件。
ThreatConnect調(diào)查這起網(wǎng)絡(luò)攻擊活動的基礎(chǔ)設(shè)施后發(fā)現(xiàn),兩個域名注冊在巴勒斯坦加沙一個自由網(wǎng)絡(luò)開發(fā)者名下。
研究人員表示僅憑這一點并無法確定歸因,他們無法確定這起活動的幕后黑手,也無法確定目標意圖。根據(jù)他們的了解,幾個惡意軟件文件被提交到了巴勒斯坦地區(qū)的公共惡意軟件分析網(wǎng)站,這就表明,威脅攻擊者或其中一個目標有可能位于該地區(qū)。