引言
近年来,网络安全威胁不断上升,其中一个引人注目的案例是伊朗的Fox Kitten恶意软件活动。该活动针对多个组织网络,利用VPN漏洞进行攻击。本文将深入探讨这一恶意软件活动的背景、目标以及其使用的技术。
Fox Kitten恶意软件活动概述
Fox Kitten恶意软件活动被认为起源于伊朗,主要由臭名昭著的攻击组织APT34-OilRig实施。研究人员怀疑该活动与PT33-Elfin和APT39-Chafer等其他组织有联系。Fox Kitten的目标主要集中在全球的IT、电信、石油和天然气、航空、政府和安全等行业。
攻击目标
一旦攻击者成功利用网络漏洞,他们便能够持续访问内部系统,并在多个公司的网络中建立立足点。Fox Kitten活动的主要目标包括: - 开发和维护对目标组织的访问路线 - 从目标组织窃取有价值的信息 - 在目标组织中维持长期的立足点 - 通过供应链攻击侵入其他公司
攻击手段与技术
在这次攻击中,APT34的威胁行为者使用了多种黑客工具,其中一些是开源工具,而另一些则是他们自行开发的。
初步渗透的漏洞利用
APT34的威胁行为者通过利用Pulse Secure VPN、Fortinet VPN和Palo Alto Networks的Global Protect等VPN的漏洞,最初渗透了目标组织的网络。一旦获得网络访问权限,攻击者便使用多种通信工具,包括通过SSH隧道打开RDP链接进行加密通信,并努力在感染的网络中维持访问权限。
使用的黑客工具
研究人员识别出多种黑客工具,包括自开发的工具,如: - STSRCheck - POWSSHNET - VBScript - 基于cs.exe的Socket后门 - Port.exe
此外,还使用了一些开源工具,如Invoke the Hash、JuicyPotato,以及一些合法工具,包括Ngrok、FRP、Serveo、Putty和Plink。这些工具在此次攻击中的用途包括权限提升、确保立足点以及为RDP连接和信息盗窃创造通道。
VPN系统的漏洞
根据ClearSky的研究,攻击者主要利用的VPN系统包括Pulse Secure Connect、Global Protect(由Palo Alto Networks提供)和Fortinet FortiOS。研究人员评估攻击者很可能也会利用Citrix的漏洞。
攻击过程
研究人员发现,攻击者在感染的网络中创建了一个特殊的本地管理员用户,以保持高权限,即使主用户的密码被更改。成功获取目标计算机的访问权限后,攻击者开始通过外泄通道将文件从被攻击的计算机移动到自己的计算机。
数据外泄
“这一阶段的主要概念是建立通过RDP连接目标公司的能力,通过在线查看或文件名列表对相关文件进行分类,然后以不同的方式将其外泄到攻击者那。”研究人员表示。
在攻击结束时,攻击者在成功渗透组织后,执行了识别、检查和过滤每个目标组织的敏感、有价值信息的常规流程。
结论
Fox Kitten恶意软件活动的出现提醒我们,VPN的安全性至关重要。组织应定期检查和更新其VPN系统,以防止此类攻击的发生。
关注我们
请关注我们的Twitter、LinkedIn和Facebook,获取每日网络安全和黑客新闻更新。
作者简介
BALAJI是Comodo Cybersecurity的前安全研究员(威胁研究实验室),Cyber Security News和GBHackers On Security的主编及联合创始人。
