网络安全公司ThreatConnect发布报告指出,最近巴勒斯坦民族权力机构(Palestinian Authority)选举活动被新型恶意软件Kasperagent攻击。目前尚不清楚这起攻击活动的始作俑者和确切目标。
Kasperagent的攻击战术
Kasperagent攻击者使用的战术包括:带有恶意软件的假新闻网站、带有政治紧张局势和加沙地区以色列暗杀等内容的鱼叉式网络钓鱼信息、以及加沙人注册的攻击基础设施。
研究人员写到,不清楚谁是这起活动的始作俑者,但研究人员挖掘被动DNS结果后发现了其命令与控制基础设施的面包屑。
E安全注:反向DNS和被动DNS结果
Kasperagent的攻击目标
去年,Kasperagent最初被安全公司Palo Alto Networks发现。这款恶意软件瞄准Microsoft Windows系统,被攻击者用来攻击美国、以色列、巴勒斯坦和埃及。最新的攻击活动表明,这款恶意软件的新变种已被用来攻击中东地区的目标。
攻击活动的发起时间恰逢加沙地区的日益紧张政治紧张局势。以及上个月约旦河西岸的预备选举预备。诱饵文件看似是官方政府的机密,这表明目标可能是政府雇员或承包商。
Kasperagent的攻击过程
攻击者在鱼叉式网络钓鱼信息和假新闻网站中使用缩短URL,引导受害者下载Payload。Kasperagent允许攻击者不同程度地监视目标,包括窃取密码、截图、记录击键以及窃取文件。
当Palo Alto Networks最初发现Kasperagent时,他们还发现了另一个针对中东地区的恶意软件家族Micropsia。
今年4月,ThreatConnect偶然发现一个恶意软件文件“لتفاصيل الكاملة لأغتيال فقهاء.r24”,翻译过来的意思是“Fuqaha暗杀的完整细节”。
2017年3月24日伊斯兰哈马斯运动的军事指挥官Mazen Fuqaha遭遇暗杀。之后,文件连接到一个域名,经Palo Alto Networks确定,该域名为Kasperagent所用。
这起网络攻击活动中使用的几个诱饵文件声称是巴勒斯坦民族权力机构解决政治问题(例如Fuqaha之死)的“绝密”文件。
ThreatConnect调查这起网络攻击活动的基础设施后发现,两个域名注册在巴勒斯坦加沙一个自由网络开发者名下。
研究人员表示仅凭这一点并无法确定归因,他们无法确定这起活动的幕后黑手,也无法确定目标意图。根据他们的了解,几个恶意软件文件被提交到了巴勒斯坦地区的公共恶意软件分析网站,这就表明,威胁攻击者或其中一个目标有可能位于该地区。
本文转自d1net(转载)