伊朗 apt 组织 copykittens 最新网络间谍行动曝光
2017-07-27 11:25:32
据外媒 7 月 25 日报道,趋势科技()与以色列安全公司 clearsky 研究人员近期联合发布一份详细报告,指出伊朗 apt 组织 copykittens 针对以色列、沙特阿拉伯、土耳其、美国、约旦与德国等国家与地区的政府、国防与学术机构展开新一轮大规模网络间谍活动 “ operation wilted tulip ”。
apt 组织 copykittens(又名:rocket kittens)至少从 2013 年以来就一直处于活跃状态,曾于 2015 年面向中东地区 550 个目标展开攻击。据悉,该报告详细介绍 copykittens 在新网络间谍活动中采取的主要攻击手段:
1、水洞攻击:通过植入 javascript 至受害网站分发恶意软件,其主要针对新闻媒体与政府机构网站。
2、web 入侵:利用精心构造的电子邮件诱导受害者连接恶意网站,从而控制目标系统。
3、恶意文件:利用近期发现的漏洞(cve-2017-0199)传播恶意 microsoft office 文档。
4、服务器漏洞利用:利用漏洞扫描程序与 sqli 工具 havij、sqlmap 与 acunetix 有效规避 web 服务器检测。
5、冒充社交媒体用户:通过与目标系统建立信任传播恶意链接。
趋势科技表示,为成功感染目标系统,copykittens 将自定义恶意软件与现有商业工具(如 red team 软件 cobalt strike、metasploit、开发代理 empire、tdtess 后门与凭证转储工具 mimikatz)结合,从多个平台向同一受害系统发动持续攻击,成功操控后转移至其他目标设备。
官方微信