不明黑客组织Clasiopa持续攻击亚洲相关机构

博门铁克研究人员报告称,一名被追踪为Clasiopa的黑客组织正在使用独特的工具组合攻击亚洲的材料研究组织。

截至撰写本文时,Clasiopa使用的感染向量尚未被发现,专家认为攻击者通过对面向互联网的服务器进行暴力攻击来获得访问权限。

据专家介绍,威胁行动者使用了两个合法的软件包,即HCL Domino(前IBM Domino)和Agile DGS和Agile FD服务器。专家们发现,Domino和Agile软件似乎都使用了旧证书,而Agile服务器则使用了旧的易受攻击的库。

Clasiopa组的武器库包括:

Atharvan定制的远程访问木马(RAT)。

公开版本Lilith RAT的修改版。

这些版本支持杀死进程、重新启动进程、修改休眠间隔、卸载RAT、执行远程命令或PowerShell脚本、退出进程 Thumbsender黑客工具、自定义代理工具等功能,专家尚未确定黑客组织的起源和动机,但Symantec收集的证据表明其位于印度。

研究人员注意到Atharvan后门中使用了一个印地语互斥体,名称为“SAPTARISHI-ATHARVAN-101”。Atharvan是印度教的一位传奇维达(Vedic)圣人。该后门还会向C&C服务器发送一个post请求,包含以下参数:

d=%s&code=%d&cid=%s&time=%dtharvan 威胁行动者用于ZIP存档的其中一个密码是“iloveindea1998^_^”。

报告总结道:“虽然这些细节可能表明该组织位于印度,但这也很可能是虚假线索,特别是密码似乎是一个过于明显的提示。”报告还包括威胁指标(IoCs)。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4417.html

标签