伊朗TEMP.Zagros组织针对亚洲和中东地区进行黑客攻击
FireEye的研究人员从2018年1月到2018年3月发现了一项针对亚洲和中东地区的新型大规模网络钓鱼攻势。该活动背后的团体被称为TEMP.Zagros,又名MuddyWater,据专家介绍,它现在正在采用新的战术,技术和程序。
2017年,PaloAlto Networks的研究人员首次发现了TEMP.Zagros,黑客们利用鱼叉式钓鱼信息针对多个国家的各个行业。攻击者使用通常具有地缘政治主题的武器化文件,例如声称来自巴基斯坦国民议会或银行技术发展与研究所的文件。
根据FireEye的报告,TEMP.Zagros攻击者正在采用一种称为POWERSTATS的后门,用于后门,并重新使用已知技术进行横向移动。这些基于宏的文档中的每一个都使用了类似的代码执行技术,持久性以及与命令和控制(C2)服务器的通信。黑客重新使用AppLocker旁路和横向移动技术来实现间接代码执行。横向移动技术中的IP地址被本地机器IP地址替代以实现系统上的代码执行。
该活动于1月23日开始涉及一个基于宏的文档,该文档删除了VBS文件和包含Base64编码的PowerShell命令的INI文件。Base64编码的PowerShell命令将由PowerShell使用由WBS文件执行时使用WScript.exe生成的命令行进行解码和执行。攻击者对每个样本使用不同的VBS脚本,采用不同级别的模糊处理以及调用流程树下一阶段的不同方式。
从2018年2月27日开始,黑客使用了一个不使用VBS来执行PowerShell代码的宏的新变种。 新的变体使用一种新的代码执行技术,利用INF和SCT文件。FireEye的研究人员还在TEMP.Zagros使用的恶意代码中发现了中文字符串,这些字符串被留作虚假标志以使得归属变得更加困难。
FireEye 分析报告:https://www.fireeye.com/blog/threat-research/2018/03/iranian-threat-group-updates-ttps-in-spear-phishing-campaign.html
原文:http://securityaffairs.co/wordpress/70453/hacking/temp-zagros-phishing.html
相关文章
- 4条评论
- 舔夺叹倦2022-05-30 21:41:18
- 。Base64编码的PowerShell命令将由PowerShell使用由WBS文件执行时使用WScript.exe生成的命令行进行解码和执行。攻击者对每个样本使
- 惑心一镜2022-05-31 01:06:17
- 执行时使用WScript.exe生成的命令行进行解码和执行。攻击者对每个样本使用不同的VBS脚本,采用不同级别的模糊处理以及调用流程树下一阶段的不同方式。从2018年2月27日
- 野欢徒掠2022-05-31 02:14:09
- 不同的VBS脚本,采用不同级别的模糊处理以及调用流程树下一阶段的不同方式。从2018年2月27日开始,黑客使用了一个不使用VBS来执行PowerShell代码的宏的新变种。 新的变体使用一种新的代码执行技术,利用INF和SCT文件。FireEye的研究人员还在TEMP.Zagros使
- 夙世亡鸦2022-05-31 02:04:09
- 间接代码执行。横向移动技术中的IP地址被本地机器IP地址替代以实现系统上的代码执行。该活动于1月23日开始涉及一个基于宏的文档,该文档删除了VBS文件和包含Base64编码的PowerShell命令的INI文件。Base64编码的PowerShell命令