伊朗TEMP.Zagros组织针对亚洲和中东地区进行黑客攻击

伊朗TEMP.Zagros组织针对亚洲和中东地区进行黑客攻击

黑客平台访客2021-10-11 18:46:003474A+A-

FireEye的研究人员从2018年1月到2018年3月发现了一项针对亚洲和中东地区的新型大规模网络钓鱼攻势。该活动背后的团体被称为TEMP.Zagros,又名MuddyWater,据专家介绍,它现在正在采用新的战术,技术和程序。

2017年,PaloAlto Networks的研究人员首次发现了TEMP.Zagros,黑客们利用鱼叉式钓鱼信息针对多个国家的各个行业。攻击者使用通常具有地缘政治主题的武器化文件,例如声称来自巴基斯坦国民议会或银行技术发展与研究所的文件。

根据FireEye的报告,TEMP.Zagros攻击者正在采用一种称为POWERSTATS的后门,用于后门,并重新使用已知技术进行横向移动。这些基于宏的文档中的每一个都使用了类似的代码执行技术,持久性以及与命令和控制(C2)服务器的通信。黑客重新使用AppLocker旁路和横向移动技术来实现间接代码执行。横向移动技术中的IP地址被本地机器IP地址替代以实现系统上的代码执行。

该活动于1月23日开始涉及一个基于宏的文档,该文档删除了VBS文件和包含Base64编码的PowerShell命令的INI文件。Base64编码的PowerShell命令将由PowerShell使用由WBS文件执行时使用WScript.exe生成的命令行进行解码和执行。攻击者对每个样本使用不同的VBS脚本,采用不同级别的模糊处理以及调用流程树下一阶段的不同方式。

从2018年2月27日开始,黑客使用了一个不使用VBS来执行PowerShell代码的宏的新变种。 新的变体使用一种新的代码执行技术,利用INF和SCT文件。FireEye的研究人员还在TEMP.Zagros使用的恶意代码中发现了中文字符串,这些字符串被留作虚假标志以使得归属变得更加困难。

FireEye 分析报告:https://www.fireeye.com/blog/threat-research/2018/03/iranian-threat-group-updates-ttps-in-spear-phishing-campaign.html

原文:http://securityaffairs.co/wordpress/70453/hacking/temp-zagros-phishing.html

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 舔夺叹倦2022-05-30 21:41:18
  • 。Base64编码的PowerShell命令将由PowerShell使用由WBS文件执行时使用WScript.exe生成的命令行进行解码和执行。攻击者对每个样本使
  • 惑心一镜2022-05-31 01:06:17
  • 执行时使用WScript.exe生成的命令行进行解码和执行。攻击者对每个样本使用不同的VBS脚本,采用不同级别的模糊处理以及调用流程树下一阶段的不同方式。从2018年2月27日
  • 野欢徒掠2022-05-31 02:14:09
  • 不同的VBS脚本,采用不同级别的模糊处理以及调用流程树下一阶段的不同方式。从2018年2月27日开始,黑客使用了一个不使用VBS来执行PowerShell代码的宏的新变种。 新的变体使用一种新的代码执行技术,利用INF和SCT文件。FireEye的研究人员还在TEMP.Zagros使
  • 夙世亡鸦2022-05-31 02:04:09
  • 间接代码执行。横向移动技术中的IP地址被本地机器IP地址替代以实现系统上的代码执行。该活动于1月23日开始涉及一个基于宏的文档,该文档删除了VBS文件和包含Base64编码的PowerShell命令的INI文件。Base64编码的PowerShell命令

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理