据外媒报道,著名安全公司ProofPoint近日发现了针对印度外交部及军事网络的威胁行动,该行动被称为‘Operation Transparent Tribe’。
ProofPoint的安全专家们发现一个名为‘Operation Transparent Tribe(OTT)’的新型网络安全威胁活动,该活动目标针对印度外交部与军事部门的工作人员。研究人员们发现了他们进行黑客活动的痕迹并证实OTT在进行攻击时使用了多种黑客技术来攻击受害者,包括网络钓鱼邮件,watering hole 攻击以及使用名为MSIL/Crimson的远程访问木马(RAT)。
MSIL/Crimson RAT 在网络间谍活动中可以实现各种数据的获取,包括控制笔记本摄像头,获取屏幕截屏以及键盘记录等。
研究人员最开始发现该项间谍活动是在2016年2月11日,他们注意到了两起针对印度外交部驻沙特阿拉伯与哈萨克斯坦的网络攻击活动。
Proofpoint发现攻击者的IP地址属于巴基斯坦,这两起攻击使用的攻击手法比较复杂,并且是大型攻击的一部分。该大型攻击还有依赖于watering hole的网站以及多种网络钓鱼邮件等。
Proofpoint威胁行动部副总监Kevin Epstein认为从攻击者使用的方法以及被攻击目标的本质可以判断攻击活动是由某个国家资助的。
“这是一起历时多年,多维度的攻击活动,很明显是由某个国家支持的间谍活动,”Epstein在采访中透露道。“在这个满是恶意软件的世界中,你极少能看到如此复杂的攻击。显而易见,这是由国家支持的多维度行动。”
国家支持的黑客攻击正在成为针对他国政治问题等收集情报的主要手段。
ProofPoint发现了这起行动并发现其在APT方面的显著努力,他们建立了多个网站来运营MSIL/Crimson RAT。
在其中一个案例中,OTT背后的ATP使用了恶意邮件来传播RTF文档,该文档通过了微软ActiveX漏洞(CVE-2012-0158),使目标机器感染恶意软件。
MSIL/Crimson是一款包含多阶段的恶意软件,首先该恶意软件会感染用户的计算机,然后下载功能更加强大的远程控制木马组件。
攻击者还通过运行恶意RAT的流氓Blog新闻网站及其他印度重要网站进行攻击。
Watering hole attacks:针对目标为一个组织的攻击,攻击者通过猜测或观察确定该组织经常访问的网站,然后在这些网站中植入恶意软件实现对该组织电脑的感染。
本文转自d1net(转载)