12662475125

新闻资讯 分类
黑客组织Cloud Atlas最新动态:那里有军事冲突 那里就有我们‘澳门威尼斯app81818’发布日期:2021-09-25 浏览次数:
本文摘要:Cloud Atlas,也被称为Inception,是一个主要针对政府机构以及特定行业开展网络特工运动的黑客组织。

新澳门葡萄京8814cc

Cloud Atlas,也被称为Inception,是一个主要针对政府机构以及特定行业开展网络特工运动的黑客组织。卡巴斯基实验室在上周公布的一份分析陈诉中指出,他们自2014年首次公然披露了Cloud Atlas以来,就一直在关注该组织的运动。仅在今年1月至7月期间,卡巴斯基实验室就已经能够确认了多起与该组织存在关联的鱼叉式网络钓鱼运动(使用的电子邮箱地址包罗:infocentre.gov@mail.ru、middleeasteye@asia.comsimbf2019@mail.ru、world_overview@politician.com和infocentre.gov@bk.ru),这些运动主要集中在如俄罗斯、中亚和乌克兰这样军事冲突不停的地域。

澳门威尼斯app81818

卡巴斯基实验室表现,Cloud Atlas自2018年以来就没有改变过其TTP(战术、工具和法式),仍然依赖现有的战术和恶意软件来入侵目的,好比联合使用CVE-2018-0802和CVE-2017-11882毛病来部署被命名为“PowerShower”的后门。不外,在最近几个月的运动中,Cloud Atlas虽然仍主要使用PowerShower后门来作为最终的有效载荷,但却改变了熏染方法,开始使用HTA(HTML应用法式)和VBS剧本来下载并执行PowerShower。

PowerShower后门简介PowerShower最初是由网络宁静公司Palo Alto Networks命名并公然披露的,从本质上讲是一个恶意PowerShell剧本,被设计用于吸收PowerShell下令和VBS模块,并在受熏染盘算机上执行。PowerShower吸收的下令只有三个,纵然是在最新的版本中也没有改变:0x80 (Ascii “P”)-它是.zip压缩文件的第一个字节(.zip文件打开为文本总是以“PK”开头),PowerShower会将收到的内容生存到“TEMP”文件夹下的“PG.zip”文件中;0x79 (Ascii “O”)-它是“On resume error”的第一个字节。PowerShower会将收到的内容生存到“APPDATA\Microsoft\Word”文件夹下的“[A-Za-z]{4}.vbs”剧本中,并使用Wscript.exe执行它;Default-如果第一个字节与0x80或0x79不匹配,则将内容生存到“TEMP”文件夹下的temp.xml文件中。然后,PowerShower会加载文件的内容,剖析XML以获得要执行的PowerShell下令并挪用IEX。

澳门威尼娱人网站

澳门威尼娱人网站

执行下令后,PowerShower将删除temp.xml,并通过HTTP POST请求将“TEMP”文件夹下的pass.txt文件中的内容上传到C2服务器。PowerShower包罗了如下模块:一个PowerShell文件窃取法式模块-它使用7zip(包罗在PG.zip文件中)来打包并向C2服务器上传用户在已往两天里修悔改的小于5MB的所有.txt、.pdf、.xls和.doc文件。

一个侦察模块-用于检索活跃历程、当前用户和当前Windows域的列表。一个密码窃取法式模块-它使用开源工具LaZagne从受熏染系统中检索密码。新的VBS剧本——VBShower后门如上所述,Cloud Atlas在最近的运动中改变了熏染方法。

在熏染后,不再依赖PowerShower,而是执行托管在远程服务器上的HTA,用于在受熏染盘算机上释放三个差别的文件:一个被卡巴斯基实验室命名为“VBShower”的后门;一个适用于VBShower的启动器;一个由HTA生成的文件,其中包罗了如当前用户、域名、盘算机名和活跃历程列表之类的数据。使用这种新的熏染方法,Cloud Atlas似乎是想要绕过基于IOC的防御方案,因为每一行代码对于受熏染盘算机来说都是唯一的,所以无法通过主机上的文件散列来举行搜索。VBShower后门具有与PowerShower相同设计理念——实验通过删除“%APPDATA%\..\Local\Temporary Internet Files\Content.Word”和“%APPDATA%\..\Local Settings\Temporary Internet Files\Content.Word\”所包罗的所有文件来使得取证分析庞大化。

卡巴斯基实验室表现,他们现在已经视察到VBShower下载了两个VBS文件到受熏染盘算机——一个是PowerShower的安装法式,另一个是Cloud Atlas在5年前就已经使用过的一种模块化后门的安装法式,后者通过Webdav(一种基于HTTP 1.1的通信协议)与云存储服务通信。结论总的来说,Cloud Atlas的运动规模主要集中在东欧和中亚,主要通过鱼叉式网络钓鱼电子邮件来流传自制的恶意软件。与其他黑客组织差别,Cloud Atlas很少使用开源的工具和恶意软件,也很少大幅度修改他们自己的恶意软件。例如,在最近的运动中,该组织就仍在使用早在5年前就已经使用过的模块化后门,而且没有对它举行任何修改。


本文关键词:澳门威尼娱人网站,澳门威尼斯app81818,新澳门葡萄京8814cc

本文来源:澳门威尼娱人网站-www.therealmccoypurses.com