伊朗APT組織 CopyKittens 最新網絡間諜行動曝光

發布日期:2017-07-27首頁 > 安全資(zī)訊

8677-1FHF91F0293.jpg
 

  據外(wài)媒 7 月 25 日報道,趨勢科技(Trend Micro)與以色列安全公司 ClearSky 研究人員(yuán)近期聯合發布一(yī)份詳細報告,指出伊朗 APT 組織 CopyKittens 針對以色列、沙特阿拉伯、土耳其、美國、約旦與德國等國家與地區的政府、國防與學術機構展開(kāi)新一(yī)輪大(dà)規模網絡間諜活動 “ Operation Wilted Tulip ”。

  APT 組織 CopyKittens(又(yòu)名:Rocket Kittens)至少從 2013 年以來就一(yī)直處于活躍狀态,曾于 2015 年面向中(zhōng)東地區 550 個目标展開(kāi)攻擊。據悉,該報告詳細介紹 CopyKittens 在新網絡間諜活動中(zhōng)采取的主要攻擊手段:

  1、水洞攻擊:通過植入 JavaScript 至受害網站分(fēn)發惡意軟件,其主要針對新聞媒體(tǐ)與政府機構網站。

  2、Web 入侵:利用精心構造的電(diàn)子郵件誘導受害者連接惡意網站,從而控制目标系統。

  3、惡意文件:利用近期發現的漏洞(CVE-2017-0199)傳播惡意 Microsoft Office 文檔。

  4、服務器漏洞利用:利用漏洞掃描程序與 SQLi 工(gōng)具 Havij、sqlmap 與 Acunetix 有效規避 Web 服務器檢測。

  5、冒充社交媒體(tǐ)用戶:通過與目标系統建立信任傳播惡意鏈接。

 

  趨勢科技表示,爲成功感染目标系統,CopyKittens 将自定義惡意軟件與現有商(shāng)業工(gōng)具(如 Red Team 軟件 Cobalt Strike、Metasploit、開(kāi)發代理 Empire、TDTESS 後門與憑證轉儲工(gōng)具 Mimikatz)結合,從多個平台向同一(yī)受害系統發動持續攻擊,成功操控後轉移至其他目标設備。