威胁组织Gaza Cybergang继续肆虐,中东成为重灾区

关注 2019-04-12 06:12:38 查看数 9991 ,评论数 0 资讯

卡巴斯基实验室最近的一份报告显示,一个名为Gaza Cybergang的网络威胁组织近期攻击了中东地区某高层人士。据了解,该组织是一个具有政治动机的阿拉伯语背景的网络犯罪组织,其目标为中东和北非地区,中亚地区也是其攻击对象之一,尤以巴基斯坦为甚。


根据报告,受Gaza Cybergang袭击影响的240多名受害者大多为分布在39个不同国家的记者、活动家或政治人士。就2018年1月至2019年1月期间记录在案的袭击次数而言,位于巴勒斯坦的受害者人数最多,其他国家还包括约旦、以色列、黎巴嫩、沙特阿拉伯、叙利亚、埃及和阿联酋。在其攻击中,该团伙使用不同复杂程度的方法和工具。


Gaza Cybergang概况

Gaza Cybergang,又名Gaza黑客军团,早在2012年就处于活跃状态,自2015年第二季度起影响不断加剧,主要攻击目标为政府实体/使馆、石油与天然气、媒体/新闻出版机构、政客与外交官等。调查显示,黑客广泛搜集情报,配合使用高级社工等方式通过含有宏病毒的 Office 附件或恶意链接的鱼叉式网络钓鱼邮件展开攻击。


卡巴斯基的调查结果显示,Gaza Cybergang威胁组织共有三个行动小组:


  • Group 1(低预算行动小组),也被称为MoleRATs;
  • Group 2(中等复杂性行动小组),与此前已知的Desert Falcons(沙漠猎鹰);
  • Group 3(高等复杂性行动小组),其之前的活动被称为Operation Parliament。

Group 1威胁不可小觑


这三个行动小组或独立行动,或合作行动。其中Group 1是最受瞩目的主要攻击行动小组,该小组广泛依赖网络钓鱼来攻击受害者。


Group 1使用公共服务(如pastebin.com、github.com、mailimg.com、upload.cat、dev-point.com和pomf.cat)向受害者系统中部署远程访问木马(RAT),其还可以下载和上传文件、启动应用程序搜索文档和加密信息。此操作被称为“SneakyPastes”。


一旦受害者点击网络钓鱼邮件中的链接,就会将此RAR文件下载到系统中。此文件包含第1阶段恶意软件,当该恶意软件安全注入到计算机上,它就会尝试确保其位置,隐藏其在任何防病毒产品中的存在,并隐藏命令服务器。


随后进一步执行以感染系统,包括扫描受害者的计算机以查找所有PDF、DOC、DOCX和XLSX文件,将它们保存到临时文件夹,对其进行分类、归档和加密,最后通过一系列域将它们发送到C2服务器。


该小组的目标实体包括各国大使馆、各政府组织、教育机构、媒体机构、记者、活动家,政治人士、医疗保健行业和银行部门。


依赖恶意攻击脚本


虽然Group 1被认为是三个行动小组中最不复杂的,但其在攻击行动中使用了最多的恶意脚本。该小组拥有相对简单的工具,但这并没有使其SneakyPastes活动的危险性降低。


“我们已经确定了Group 1利用PowerShell、VBS、JS和.NET等脚本实现其植入程序的弹性和持久性。其攻击最后一步是通过.NET来接收多个攻击命令,如目录列表、屏幕截图、压缩,上传等,”报告中解释道。这表明该小组部署的恶意软件依赖于持久性机制进行攻击。

嵌入式功能保证其在系统中的持久性

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...