引言
近年來,網路安全威脅不斷上升,其中一個引人注目的案例是伊朗的Fox Kitten惡意軟體活動。該活動針對多個組織網絡,利用VPN漏洞進行攻擊。本文將深入探討這項惡意軟體活動的背景、目標以及其使用的技術。
Fox Kitten惡意軟體活動概述
Fox Kitten惡意軟體活動被認為起源於伊朗,主要由臭名昭著的攻擊組織APT34-OilRig實施。研究人員懷疑該活動與PT33-Elfin和APT39-Chafer等其他組織有關聯。 Fox Kitten的目標主要集中在全球的IT、電信、石油和天然氣、航空、政府和安全等產業。
攻擊目標
一旦攻擊者成功利用網路漏洞,他們便能夠持續存取內部系統,並在多個公司的網路中建立立足點。 Fox Kitten活動的主要目標包括: - 開發和維護對目標組織的訪問路線 - 從目標組織竊取有價值的訊息 - 在目標組織中維持長期的立足點 - 透過供應鏈攻擊侵入其他公司
攻擊手法與技術
在這次攻擊中,APT34的威脅行為者使用了多種駭客工具,其中一些是開源工具,而另一些則是他們自行開發的。
初步滲透的漏洞利用
APT34的威脅行為者利用Pulse Secure VPN、Fortinet VPN和Palo Alto Networks的Global Protect等VPN的漏洞,最初滲透了目標組織的網路。一旦獲得網路存取權限,攻擊者便使用多種通信工具,包括透過SSH隧道打開RDP連結進行加密通信,並努力在感染的網路中維持存取權限。
使用的駭客工具
研究人員識別出多種駭客工具,包括自開發的工具,如: - STSRCheck - POWSSHNET - VBScript - 基於cs.exe的Socket後門 - Port.exe
此外,也使用了一些開源工具,如Invoke the Hash、JuicyPotato,以及一些合法工具,包括Ngrok、FRP、Serveo、Putty和Plink。這些工具在此次攻擊中的用途包括權限提升、確保立足點以及為RDP連接和資訊盜竊創造通道。
VPN系統的漏洞
根據ClearSky的研究,攻擊者主要利用的VPN系統包括Pulse Secure Connect、Global Protect(由Palo Alto Networks提供)和Fortinet FortiOS。研究人員評估攻擊者很可能也會利用Citrix的漏洞。
攻擊過程
研究人員發現,攻擊者在感染的網路中創建了一個特殊的本地管理員用戶,以保持高權限,即使主用戶的密碼被更改。成功取得目標電腦的存取權限後,攻擊者開始透過外洩通道將檔案從被攻擊的電腦移動到自己的電腦。
數據外洩
「這一階段的主要概念是建立透過RDP連接目標公司的能力,透過線上檢視或檔案名稱清單對相關文件進行分類,然後以不同的方式將其外洩到攻擊者那。」研究人員表示。
在攻擊結束時,攻擊者在成功滲透組織後,執行了識別、檢查和過濾每個目標組織的敏感、有價值資訊的常規流程。
結論
Fox Kitten惡意軟體活動的出現提醒我們,VPN的安全性至關重要。組織應定期檢查和更新其VPN系統,以防止此類攻擊的發生。
關注我們
請關注我們的Twitter、LinkedIn和Facebook,獲取每日網路安全和駭客新聞更新。
作者簡介
BALAJI是Comodo Cybersecurity的前安全研究員(威脅研究實驗室),Cyber Security News和GBHackers On Security的主編及共同創辦人。
