Home / Technology / 在袭击中东公司期间发现的新型伊朗雨刮器

在袭击中东公司期间发现的新型伊朗雨刮器

伊朗国旗。

该公司的安全部门IBM X-Force发布了一份报告,报告了一种新形式的“刮水器”恶意软件,该恶意软件与伊朗的威胁组链接在一起,并被用作Windows XP的一部分。对行业内公司的破坏性攻击。中东。该样本是针对IBM发言人描述为“ [Middle East]中的新环境-不是沙特阿拉伯,而是另一个竞争对手”的攻击而发现的。伊朗区域办事处”。

根据IBM X-Force研究人员的一份报告,该恶意软件的昵称为ZeroCleare,“可能是伊朗政府赞助的团体之间的协作”。攻击针对特定组织,并使用暴力密码攻击来访问网络资源。攻击的初始阶段是从阿姆斯特丹的IP地址发起的,该阿姆斯特丹的IP地址与IBM所谓的“ ITG13组”(也称为“ Oilrig”和APT34)相关。在刮水器运动之前,另一组伊朗威胁可能使用相同的地址访问帐户。

“尽管X-Force IRIS不能归因于ZeroCleare运动破坏阶段的观测活动,”研究人员指出。与其他伊朗威胁参与者的高度相似之处,包括对ASPX Web坦克的依赖和受损的VPN帐户,与ITG13活动的联系并且攻击与该地区的伊朗目标保持一致,请确保此攻击是由一个或多个伊朗威胁团体实施的。

除了对网络帐户的暴力攻击之外,攻击者还利用SharePoint漏洞在SharePoint服务器上放置Web Shell,其中包括 China Chopper Tunna ]和另一个基于Active Server Pages的WebSell,称为“ extensions.aspx”,“与ITG13 TWOFACE / SEASHARPEE工具共享相似之处。 ,“报告了IBM研究人员。他们还尝试安装TeamViewer远程访问软件,并使用了飞行工具的修改版。 39;隐藏Mimikatz身份信息以隐藏他的意图,以便在受感染的服务器上窃取更多网络身份信息

Hide driver

ZeroCleare,像Shamoon游标一样,使用EldoS的合法RawDisk软件驱动程序来直接访问硬盘驱动器并写入数据,但是EldoS驱动程序未签名,ZeroCleare使用来自Oracle的VirtualBox虚拟机软件版本中的易受攻击但已签名的驱动程序,绕过了驱动程序签名验证,从而使它可以攻击64位版本的Windows。 VBoxDrv,成功应用了签名Microsoft驱动程序由中间可执行文件加载。在IBM X-Force检测到的情况下,文件名为 soy.exe 。加载易受攻击的VirtualBox驱动程序后,该恶意软件利用驱动程序中的错误来加载未签名的EldoS驱动程序。在没有驱动程序签名签名的32位Windows系统上,该恶意软件可以在没有替代方法的情况下运行,并直接运行EldoS驱动程序。

恶意软件有效载荷称为ClientUpdate.exe。使用EldoS驱动程序,它将覆盖受感染机器的主启动记录和磁盘分区。

袭击的受害者是伊朗认为是波斯湾竞争对手的国家中的能源和工业部门。这不是正在进行的唯一与伊朗有关的竞选活动-传闻报道指出伊朗APT33对美国和其他能源公司的其他袭击。该国,以及与伊朗有关的另一组威胁以美国总统竞选为目标(据路透社报道,来自特朗普总统)。

About admin

Check Also

评论:恐惧是一款适合整个家庭的伟大的怪兽主题棋盘游戏

欢迎来到Ars Cardboard,我们的桌上游戏周末!在 board.arstechnica.com 上查看我们完整的棋盘游戏报道。 有些人使用“家庭游戏”作为贬义词。不是我一方面,我爱我的家人。更重要的是,作为棋盘游戏的玩家和评论家,我的工作是向家人展示尽可能多的游戏。在纸板游戏中,所有游戏都必须是家庭游戏,因为家庭会玩所有东西。 有了这个非常重要的免责声明,现在该宣布Prospero Hall Horrified 是我今年最喜欢的家庭游戏了。 比大流行好吗? 让我细想一下我尊重的游戏。 我对流行的合作社疾病战斗游戏 Pandemic 的救赎是,它总是会使玩家感到更加困难。在某种程度上,这是合作游戏的万无一失的公式, Pandemic …

Leave a Reply

Your email address will not be published. Required fields are marked *