网络安全研究人员警告称,一名疑似讲中文的威胁行为者正在协调针对阿富汗政府的持续攻击,作为间谍活动的一部分,该活动的起源可能可以追溯到 2014 年。
以色列网络安全公司 Check Point Research 将入侵归因于一个名为“IndigoZebra”的黑客组织,过去的活动针对其他中亚国家,包括吉尔吉斯斯坦和乌兹别克斯坦。
“威胁者利用Dropbox的,流行的云存储服务,渗透到阿富汗国家安全委员会(NSC)的间谍背后,”研究人员在技术上说,写了与黑客新闻共享,将他们“精心策划的一个部- 对部门风格的欺骗,将电子邮件从另一个知名受害者的邮箱发送到知名目标。”
IndigoZebra 于 2017 年 8 月首次曝光,当时卡巴斯基详细介绍了一项秘密行动,该行动利用大量恶意软件(如Meterpreter、Poison Ivy RAT、xDown 和以前未记录的恶意软件 xCaon)挑出前苏联共和国。
Check Point 对袭击事件的调查于 4 月开始,当时 NSC 官员开始收到据称来自阿富汗总统行政办公室的诱饵电子邮件。
虽然该消息敦促收件人查看与即将举行的 NSC 新闻发布会相关的附件中的修改,但发现打开诱饵文件 – 受密码保护的 RAR 存档(“NSC 新闻发布会.rar”)会触发感染链最终在目标系统上安装了一个后门(“spools.exe”)。
此外,攻击将恶意命令输送到使用 Dropbox API 伪装的受害者机器中,植入物为攻击者控制的 Dropbox 帐户中的每个受感染主机创建一个唯一的文件夹。
这个被称为“BoxCaon”的后门能够窃取存储在设备上的机密数据,运行任意命令,并将结果提取回 Dropbox 文件夹。命令(“c.txt”)本身被放置在受害者的 Dropbox 文件夹中名为“d”的单独子文件夹中,恶意软件在执行之前会检索该子文件夹。
BoxCaon 与 IndigoZebra 的联系源于恶意软件与 xCaon 的相似之处。Check Point 表示,它确定了大约 30 个不同的 xCaon 样本——最早可以追溯到 2014 年——所有这些样本都依赖于 HTTP 协议进行命令和控制通信。
研究人员分析的遥测数据还发现,HTTP 变体主要将目光投向位于吉尔吉斯斯坦和乌兹别克斯坦的政治实体,这表明近年来随着工具集的改进,目标发生了转变。
Check Point 威胁情报负责人 Lotem Finkelsteen 说:“这里值得注意的是,威胁行为者如何利用部际欺骗的策略。”
“这种策略在让任何人为你做任何事情方面都是恶毒而有效的;在这种情况下,恶意活动被视为最高主权级别。此外,值得注意的是,威胁行为者如何利用 Dropbox 来掩饰自己不被发现。”
极牛网精选文章《IndigoZebra APT 黑客活动针对阿富汗政府》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/15325.html