黑客組織是如何針對美軍採取行動的?
大家好,我是零日情報局。
本文首發於公眾號零日情報局,微信ID:lingriqingbaoju。
最近的新聞經常讓人不得不感慨,燈塔國是不是水逆了。什麼美國敗走敘利亞,總統川普“通烏門”被彈劾,全球鷹無人機被伊朗擊落,再被“暴屍”。
就連到處興風作浪的美國陸軍,這段時間在網路詐騙的圍攻下,“地表最強”的人設也有點崩塌。
今年9月,安全研究員發現了一個為美國退役軍人提供工作機會的網站。考慮到退伍軍人的恰飯問題,一個名叫Hire Military Heroes(僱用軍隊英雄)的組織,上線了專門為美國大兵解決就業的網站。
(美軍就業網站的文案很動人,我們使美國更安全)
可是研究員一查才發現,這才不是什麼“僱用英雄”的官方組織,就一黑客團伙假冒偽裝;他們也不是來解決退伍兵的就業剛需,只想針對美國軍人發起網路攻擊,僅此而已。
一旦美國士兵下載了應用程式,就開始安裝惡意軟體,黑客可以完全控制計算機。專家猜測,黑客最終目的劍指美國國防系統,以竊取重要軍事資訊。
敢對美軍下手的,得吃多少豹子膽,所以這個大膽囂張的黑客,斷然不是無名之輩。而關於這個正面剛美軍的黑客組織,賽門鐵克對它有過追蹤,名字就叫做Tortoiseshell(龜甲)。
說起針對美軍搞網路詐騙,這種在太歲頭上動土的事情,竟也不是一次兩次了。
前兩天的最新訊息,一個五人詐騙團伙供認,他們登入了美國陸軍的AHLTA(健康縱向技術應用)資料庫,然後偷偷用手機拍照,記錄獲取了現役、預備役、國民警衛隊、退伍等軍人的個人識別資訊。
前前後後,他們一共竊取了幾千個美國軍人的身份資訊,然後黑進美國國防部網站、退伍軍人福利網站,把受害人的銀行資金、養老金、傷殘津貼轉移到個人賬號,獲利金額已經達到了數百萬美元。
(美國法院對詐騙團伙的起訴書)
還有件事更尷尬,美國有442名軍官被人詐騙勒索了,贖金56萬美金。
至於敲詐過程,聽了叫人老臉一紅。詐騙犯看準美國軍人身邊都是糙老爺們,多少有點“飢渴”心態,便在社交平臺上假扮年輕美女,跟軍官們談起了線上戀愛。
殊不知這是一群關押在南卡羅萊納州一所監獄的犯人,等士兵們交換照片時,這群犯人搖身一變,又變成“女朋友”的父親或警察,指控士兵涉嫌兒童色情犯罪。
看來,美國軍隊也不是鐵板一塊,尤其在網路威脅面前,美國陸軍自己也曾表示過,“每次敲擊鍵盤都可能是致命的,不管是對個人、軍隊,還是國家”。
那個專騙美軍的就業網站
就拿開頭提到的Hire Military Heroes虛假就業網站攻擊過程來說一說。
當使用者訪問網站時,會提示他們下載適用於Windows 8、8.1或Windows 10的桌面應用程式。對於Windows 10下載,它是一個包含名為win10.exe的程式的zip檔案。(多數可疑檔案分析服務都無法檢測到該檔案。)
下載檔案
啟動程式後,就會看到一個顯示“僱傭軍事英雄是僱用軍隊的新資源”的載入頁面,它光明正大的顯示正在嘗試連線資料庫。
載入畫面
其實,這時程式正在下載另外兩個惡意軟體檔案,並將其儲存到計算機。然後,它會顯示“對不起,您的安全解決方案終止了我們的伺服器的連線。”
假裝自己是合法程式,是你計算機不讓我執行。而實際上是,它壓根提供不了什麼就業服務。
偽造錯誤
這個時候,兩個偷偷下載的惡意軟體也已安裝完畢,並開始執行。一個負責收集中招軍人個人及其電腦資訊,一個負責執行黑客組織的攻擊命令。
收集資訊的惡意程式,會執行111個指令,這些指令將收集計算機上所有檔案的列表,驅動器資訊,執行程式,網路資訊,使用者帳戶列表,網路共享,ARP表條目,防火牆資訊等。
然後將所有這些資訊收集到名為%Temp%\ si.cab的檔案中,接下來就會通過嵌入式Gmail電子郵件,回傳給黑客。
部分執行的命令
除了收集資訊的惡意軟體外,還將在計算機上安裝遠端訪問木馬。該木馬將作為Windows的“ dllhost”服務安裝,顯示名稱為“ Dll host”。
接下來,中招者每次啟動Windows,就會開始感染木馬,因為“ dllhost”服務配置的是自動啟動。
一旦啟動,RAT將重新連線到攻擊者的命令和控制伺服器,並在其中接收要執行的命令。這些命令可以是終止服務,上載檔案,解壓縮檔案或執行命令。
總的來說,你的電腦還是你的,但你的電腦又不再是你的。
這種RAT感染實質上使攻擊者可以完全控制計算機,並允許黑客執行任何操作。並且有專家稱,此次攻擊範圍並僅限於美國退役軍人,美國現役軍人同樣會受到攻擊。
那隻專搞美國沙特的“龜甲”
其實這種攻擊方式,各大APT組織都十分上手,但敢盯上美國軍方的組織,是Tortoiseshell黑客組織,或者叫它“龜甲”也可以。
它最早的攻擊活動可以追溯到2018年7月,除了最近的攻擊美國陸軍行為,之前至少對11個組織發起過網路攻擊。巧就巧在,這些被攻擊組織大多是來自美國盟友,沙烏地阿拉伯。從瞭解到的資訊來看,這個“龜甲”非常擅長定製惡意軟體,比如自定義後門的Syskit木馬。
以下3個PowerShell指令碼,是他們常用的網路武器:
•Infostealer/ Sha.exe / Sha432.exe
•Infostealer/ stereoversioncontrol.exe
•get-logon-history.ps1
值得一提的是,網路專家曾經在其中一個受到TortoiseShell攻擊的受害者的電腦系統裡,找到了一個名叫Poison Frog(毒蛙)後門,這個後門與自伊朗的高階威脅OilRig(又名APT34,HelixKitten)的活動相關聯。
更多零日發現與反思
再強悍的軍隊,也都是由一個個人組成,銅牆鐵壁也有百密一疏時。
2017年,健身軟體Strava釋出一幅“全球運動熱力地圖”,一名澳大利亞學生通過這份熱力圖,找到了美國設在敘利亞、伊拉克和阿富汗等國的軍事基地。
至於洩露的源頭,是愛運動的美國大兵,日復一日的跑步軌跡點亮了整個基地。
(運動軌跡清晰勾勒出美軍摩加迪沙基地的輪廓)
強大如美軍,依然無法在危及全球的網路威脅中獨善其身。
甚至美軍現役150萬人的龐大體量,多如牛毛的發分支機構,都成了黑客組織隨時找到空子,發起網路奇襲的命門。
這無不時刻警醒著我們,21世紀,也許很難在大國之間看到硝煙瀰漫的戰爭,但威脅卻從未遠離,它可能來自網路,可能來自生活,也可能只是攻擊了一個人、一個組織、一個系統,就能癱瘓一個國家。
相關文章
- 組織和企業如何規避網上資訊被黑客盜取黑客
- 南亞APT組織Bitter正在針對中國的核能機構進行網路攻擊APT
- 微軟稱阻止了黎巴嫩黑客組織對以色列的攻擊活動微軟黑客
- 烏克蘭破獲一個盜取鉅款的黑客組織黑客
- 卡巴斯基:Lazarus黑客組織開發針對加密貨幣交易所的MacOS惡意軟體黑客加密Mac
- 黑吃黑——黑客組織通過黑客工具攻擊其他黑客黑客
- 黑客組織瞄準美國電網黑客
- Kimsuky APT組織利用疫情話題針對南韓進行雙平臺的攻擊活動的分析APT
- 俄羅斯支援的DNC黑客組織對華盛頓智庫發起攻擊黑客
- 境外黑客組織再次蠢蠢欲動,欲對我國視訊監控系統下手?黑客
- 疑似APT組織針對多吉幣關注者進行魚叉式定向攻擊APT
- 知名黑客組織Anonymous(匿名者)的裝備庫黑客
- 如何打造最強的資料驅動組織
- 小心Excel文件,TA505黑客組織利用其執行攻擊Excel黑客
- 德國官員稱俄羅斯黑客組織APT28去年對其發動網路攻擊黑客APT
- 國際刑警組織再出手!摩洛哥黑客被捕黑客
- 公司程式碼與採購組織的關係
- 在你的組織中提升採購的最佳實踐
- 【黑客追擊】境外黑客組織提前行動,瞄準我國公司實施網路攻擊黑客
- APT組織Lorec53(洛瑞熊)發動多輪針對烏克蘭的網路攻擊活動APT
- “盤一盤”近期瘋狂作案的 Lapsus $ 黑客組織黑客
- 黑客組織Anonymous希望McAfee擔任川普的安全顧問黑客
- 微軟將朝鮮黑客組織告上法庭——以法律之劍,斬APT組織之鏈微軟黑客APT
- 考慮到對IIoT的日益依賴,需要採取緊急行業行動行業
- Gartner:立刻採取三個行動應對WannaCry勒索軟體的傳播
- SAP CRM訂單抬頭級別的組織架構資料是如何自動拷貝到行專案的架構
- 企業微信針對百萬級組織架構的客戶端效能最佳化實踐架構客戶端
- 伸向中亞地區的觸手——DustSquad APT組織針對烏茲別克的活動分析APT
- 讓美國人睡不著覺的三大黑客組織黑客
- 黑客組織攻破印度多個高階委員會網站黑客網站
- 黑客組織“奇幻熊”入侵國際田聯絡統黑客
- 如何建立流程型組織
- 印巴戰場全線升維,“透明部落行動”黑客組織四年後捲土重來黑客
- 如何更好的組織你的Laravel模型Laravel模型
- 新生黑客組織整合三大勒索軟體,宣告不會攻擊特定行業黑客行業
- 網路安全”殺手“勒索組織是如何選擇”獵物“的?
- 美軍事基地被黑客入侵UFO資料驚現黑客
- 列表外掛中獲取過濾的組織範圍以及是否勾選全部組織