揭秘伊朗網(wǎng)絡(luò)間諜組織CopyKittens:技能有限,但攻擊仍獲成功

責(zé)任編輯:editor004

2017-07-27 11:57:15

摘自:E安全

伊朗網(wǎng)絡(luò)間諜組織“復(fù)制貓(CopyKittens)”盡管僅擁有中等水平的相關(guān)黑客技能,但自2013披來(lái)已經(jīng)成功滲透了相當(dāng)可觀的數(shù)據(jù)。

 伊朗網(wǎng)絡(luò)間諜組織“復(fù)制貓(CopyKittens)”盡管僅擁有中等水平的相關(guān)黑客技能,但自2013披來(lái)已經(jīng)成功滲透了相當(dāng)可觀的數(shù)據(jù)。

揭秘伊朗網(wǎng)絡(luò)間諜組織CopyKittens:技能有限,但攻擊仍獲成功-E安全

半瓶水也能“響叮當(dāng)”

事實(shí)上,網(wǎng)絡(luò)攻擊組織并不一定需要擁有極高的技術(shù)水平才能給敵對(duì)一方施以巨大壓力。有時(shí)候,不成熟但持續(xù)存在的威脅行為同樣能夠收到奇效。

根據(jù)本周由以色列ClearSky網(wǎng)絡(luò)安全公司與Trend Micro公司聯(lián)合發(fā)布的報(bào)告表示,相當(dāng)一部分國(guó)家支持型網(wǎng)絡(luò)間諜行為并沒(méi)有顯示出顯著的高復(fù)雜度。與伊朗有所關(guān)聯(lián)的網(wǎng)絡(luò)間諜組織復(fù)制貓自2013年以來(lái)仍然設(shè)法從以色列、土耳其、沙特阿拉伯、約旦乃至美國(guó)的軍方及政府機(jī)構(gòu)、學(xué)術(shù)組織、市政當(dāng)局以及IT企業(yè)當(dāng)中成功竊取到大量數(shù)據(jù)。

在過(guò)去幾年當(dāng)中,“復(fù)制貓”曾經(jīng)先后使用數(shù)十個(gè)域名,其中大部分假冒微軟、谷歌、Amazon、Facebook以及甲骨文等企業(yè),旨在進(jìn)行惡意軟件交付、托管惡意站點(diǎn)以及進(jìn)行命令與控制操作等。

盡管顯然存在資源受限問(wèn)題,但“復(fù)制貓”還是設(shè)法入侵了一部分在線新聞媒體與普通網(wǎng)站,而后利用其實(shí)施水坑式攻擊。

ClearSky公司威脅情報(bào)負(fù)責(zé)人伊雅·瑟拉表示,“他們?cè)诰W(wǎng)絡(luò)間諜組織當(dāng)中處于較低水平線,且未使用零日漏洞,他們自主開(kāi)發(fā)的工具在多個(gè)層面都要遜于其它同類惡意組織。”

總體而言,該組織的戰(zhàn)術(shù)、技術(shù)與程序(TTP),主要包括惡意郵件附件、釣魚(yú)攻擊、Web應(yīng)用程序攻擊,這些并無(wú)亮眼之處,而且直到2016年開(kāi)始才著手利用水坑式攻擊。

然而,他們獲得的持續(xù)成功證明,技術(shù)水平相對(duì)較低但堅(jiān)持不懈的威脅方仍然能夠成功完成目標(biāo)。

復(fù)制貓的攻擊方式分析

瑟拉指出,“被伊朗設(shè)為潛在目標(biāo)的部門(mén)及國(guó)家確實(shí)面臨著安全風(fēng)險(xiǎn)”,且應(yīng)充分了解該惡意組織的TTP。

舉例來(lái)說(shuō),復(fù)制貓傾向于通過(guò)IT供應(yīng)鏈中的安全弱點(diǎn)對(duì)組織機(jī)構(gòu)網(wǎng)絡(luò)進(jìn)行破壞。另外,其亦傾向于實(shí)施大量基于DNS的數(shù)據(jù)滲透及命令控制,這意味著該惡意集團(tuán)的潛在目標(biāo)有必要對(duì)自身DNS基礎(chǔ)設(shè)施進(jìn)行監(jiān)控。瑟拉同時(shí)強(qiáng)調(diào)稱,復(fù)制貓方面同樣經(jīng)常利用社交媒體渠道(例如偽造的Facebook個(gè)人資料)接近并入侵目標(biāo)機(jī)構(gòu)。

關(guān)于“復(fù)制貓“有三份詳細(xì)報(bào)告

本周發(fā)布的報(bào)告是ClearSky公司針對(duì)復(fù)制貓組織發(fā)布的第三份相關(guān)分析結(jié)論。這份全新報(bào)告中包含有與該組織相關(guān)的一系列最新活動(dòng)細(xì)節(jié)、新近開(kāi)發(fā)的惡意軟件相關(guān)說(shuō)明、以及目前正在運(yùn)行且被復(fù)制貓用于進(jìn)行惡意軟件交付及攻擊的一份包含數(shù)十個(gè)新域名的清單。

在本周ClearSky與Trend Micro聯(lián)合發(fā)布的報(bào)告中,我們看到其根據(jù)新近開(kāi)發(fā)的惡意軟件樣本發(fā)現(xiàn)一項(xiàng).NET后門(mén),負(fù)責(zé)為攻擊者提供在目標(biāo)系統(tǒng)之上下載并執(zhí)行惡意軟件的方式,同時(shí)搭配一款可在已入侵網(wǎng)絡(luò)當(dāng)中橫向移動(dòng)并竊取憑證信息的工具。VirusTotal內(nèi)的反病毒工具目前無(wú)法正常識(shí)別該組織開(kāi)發(fā)出的部分新工具。

“復(fù)制貓”組織此前曾經(jīng)用于入侵網(wǎng)絡(luò)的多款工具都有著合法的技術(shù)背景。舉例來(lái)說(shuō),復(fù)制貓通常會(huì)利用Cobalt Strike這款商業(yè)軟件工具的試用版本在目標(biāo)網(wǎng)絡(luò)當(dāng)中搜索漏洞并進(jìn)行滲透。該組織曾經(jīng)使用的其它類似工具還包括Metasploit、Mimikatz以及用于檢測(cè)可入侵Web服務(wù)器的Havij等軟件。

其攻擊目的較為單純的支持伊朗政府

瑟拉指出,“看起來(lái)他們的目標(biāo)應(yīng)該是盡可能多地收集目標(biāo)機(jī)構(gòu)的信息與數(shù)據(jù)。他們不分青紅皂白地滲透大量文件與電子表格,具體包括個(gè)人資料文檔、配置文件以及數(shù)據(jù)庫(kù)。”

而從惡意活動(dòng)的范圍與持續(xù)時(shí)間來(lái)看,復(fù)制貓無(wú)疑屬于民族國(guó)家支持型間諜組織。該惡意組織似乎并沒(méi)有受到經(jīng)濟(jì)利益的驅(qū)動(dòng),但其行動(dòng)與伊朗以及該國(guó)利益存在多重關(guān)聯(lián)再一次證明了國(guó)家為其提供的強(qiáng)大支持。

關(guān)于三分“復(fù)制貓”的報(bào)告,請(qǐng)戳!

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)