首页保安暗黑行动行动背后的APT团队又回来了...

暗黑屠杀行动背后的APT团队又回来了

根据 检查点,h APT 落后的团队 黑客 业务 暗Car 回到。 研究者 安全 该公司透露了针对许多行业的一系列新攻击。

Dark Caracal行动是由与 黎巴嫩 现在他又回来了 攻击 在其中使用 新版本的 后门 木马,已经使用了13年,并被命名为Bandook.

暗Car

Bandook的最新发现 黑客 2015年和2017年的战役,据说后门木马是由某人创建的 黑客,将其出售给各个APT组。

根据 报告 去年的Check Point 该恶意软件的数十种变体已开始在威胁领域中重新出现。

在最新一波的攻击中,我们再次确定了攻击者针对的异常广泛的区域和位置 恶意软件。 这进一步强化了以前的假设,即一个实体不使用恶意软件,而是由第三方将恶意软件出售给世界各地的政府和黑客以促进攻击。“。

在最近的袭击中,Dark Caracal背后的APT团队针对各个领域,例如 政府,金融公司,能源公司,食品工业,医疗保健,教育,IT和法律机构。

该组织的大多数受害者位于新加坡,塞浦路斯,智利,意大利, 美国,土耳其,瑞士,印尼和德国。

感染过程通常分为三个阶段:

第一阶段使用一个 Word文件 (例如“ Certified document.docx”) 在ZIP文件中传送。 通过打开文件,恶意宏被激活,然后 下载并运行原始文档中加密的PowerShell脚本(第二步).

在攻击的最后阶段, PowerShell脚本从合法的可执行文件下载加密的可执行文件 服务 云储存, 例如Dropbox或Bitbucket,然后下载 Bandook加载程序,它将RAT引入到新的Internet Explorer进程中。

Bandook RAT在地下论坛中可用 自2007年以来,它支持常见的后门命令,包括拍摄屏幕截图以及执行与 档案.

Check Point研究人员发现Bandook的新版本是“弱版本”,仅支持11条命令中的120条。 这意味着 黑客 尽量不要引起注意。

专家们注意到,各种恶意软件样本均已使用由Microsoft颁发的有效证书进行了数字签名。 陶瓷.

该活动与以前的活动的某些特征和相似之处使我们得出结论,我们在本报告中描述的活动确实是用于该活动的基础设施的延续和发展。 业务 暗Car“:

  • 在所有广告系列中使用相同的Certum提供程序。
  • 使用Bandook木马。
  • 有针对性的攻击具有相同的功能。

所有证据都支持我们相信,Dark Caracal恶意基础架构背后的神秘运营商仍然活得很好。研究人员总结说。

资料来源:安全事务

数字要塞https://www.secnews.gr
追求梦想与生活!

实时新闻