详细内容或原文请订阅后点击阅览
隐形小偷:APT41 如何隐藏其活动痕迹近一年
安全的假象一直持续到为时已晚。
来源:安全实验室新闻频道安全幻觉一直持续到为时已晚的那一刻。
APT41将Cyberataka带到了赌博部门,秘密地行动并将其工具改编成IB活动。这是一个网络犯罪协会,也称为黄铜台风,地球巴库,邪恶的熊猫和温妮蒂,在上述行业的客户网络上持续了近9个月,收集机密数据并绕过安全系统。
以色列公司安全琼斯(Jones)参加了该事件的调查,他说攻击者从LSASS流程中删除了网络配置,用户密码和数据。公司IDO NAR公司的创始人指出:“黑客修改了基于辩护人的行动,支持访问和不景气的策略。”
安全乔斯 div>在攻击过程中,使用与Sophos监测的深红色宫殿作战中观察到的方法相似。 Naor还强调,尽管国家支持,但恶意运动可能仍具有财务动力。
Sophos div>APT41使用一组复杂的策略来规避保护措施并创建隐藏的远程访问通道。攻击方法之一是DCSYNC-哈希密码的集合来捕获管理员的帐户和访问扩展。还使用了Phantom DLL劫持攻击和合法的系统实用程序,例如WMIC.EXE。
dcsync div>尽管确切的渗透到网络中仍然未知,但它可能被使用了网络钓鱼字母,因为没有发现外部应用程序的脆弱性或接触供应链的漏洞。渗透后,攻击者专注于管理员和开发人员的账户,以保持对基础设施的控制。
该活动的功能是在IP地址上过滤包含“ 10.20.22”的IP地址的受感染设备,这表明VPN网络的预期用途。这种方法使攻击者只能击中他们的设备。
VPN div>