赛门铁克首次观察到一个 H 客组织劫持并使用另一个组织的工具。
据外媒报道,赛门铁克(Symantec)报告称,最近与俄罗斯网络间谍组织 Turla 有关的三场 H 客活动使用了不同的工具。Turla 也被称为 Waterbug、KRYPTON 和 VenomousBear,已活跃 10 多年,主要从事网络间谍活动。
该组织最近进行了至少三次不同的 H 客活动,每一次都使用了不同的工具集。第一场活动中使用了名为 Neptun 的后门,该后门安装在 Microsoft Exchange 服务器上,可以下载额外的工具、上传被盗文件,并执行 shell 命令。第二场活动使用了修改版的 Meterpreter 后门,以及两个自定义加载器——一个名为 photobased.dll 的自定义后门和自定义远程过程调用(RPC)后门。第三场活动中,H 客使用了自定义 RPC 后门(与第二个活动中观察到的版本不同),它使用了来自 PowerShellRunner 工具的代码来执行 PowerShell 脚本和绕过检测。
自 2018 年初以来,Turla 曾对 10 个国家的 13 个组织发起了攻击,其中一次行动中使用了伊朗间谍组织 OilRig (APT34, Crambus)的工具。这是赛门铁克首次观察到一个 H 客组织劫持并使用另一个组织的工具。目前仍难以确定 H 客组织背后的动机。
© 版权声明
1.文章资源部分来自互联网,仅供学习参考使用。
2.商用请支持正版。若不听劝告,出现任何后果,均与本站无关。
3.如果文章对您有帮助,建议大家Ctrl+D收藏本站,网站持久离不开大家的鼓励和支持!
THE END
暂无评论内容