WEB主题公园[www.themepark.com.cn]用心做最好的原创中文WordPress主题!

24小时联系电话:185 8888 888

商业
您现在的位置: 首页 > 商业 > 新的TortoiseShell集团扼杀11家IT提供商以吸引他们的客户
  • 大兴区科委王翠华书记、苏荣主任考察民银国际 何帮喜董事长陪同

    大兴区科委王翠华书记、苏荣主任考察民银国际 何帮喜董事长陪同

    发布时间:2021/02/26

    2月22日,正值牛年新春佳节之际,大兴区科委王翠华书记、苏荣主任一行莅临民银国际控股集团有限公司,看望慰问企业员工,并致以新春的问候。民银国际董事长何帮喜对王书记、苏主任一行表示热烈的欢迎,对大兴区科...

  • 老百姓吃了这么多年酱油,原来我们都被骗了

    老百姓吃了这么多年酱油,原来我们都被骗了

    发布时间:2021/01/22

    作为老百姓日常饮食中的主要调味品之一——酱油与我们的生活息息相关。酱油最大的特点和优势就是“增鲜提味”,但小小一瓶酱油,背后也大有乾坤,原来市场上卖的这个“鲜”、那个“鲜”的酱油,90%以上都是靠加入大量的味...

  • 华夏出行岳殿伟:出行服务是整车企业转型发展的必由之路

    华夏出行岳殿伟:出行服务是整车企业转型发展的必由之路

    发布时间:2020/05/15

    数字经济时代的巨轮正在推动各产业滚滚前行。在智慧城市、新型基础设施建设的驱动下,车路协同的新一代技术、新型运输服务模式的催生下,传统的出行方式正在向数字化、可塑化、实名化转变。从个人拥有出行工具,...

  • 战斗在党和人民最需要的地方

    战斗在党和人民最需要的地方

    发布时间:2020/04/08

    战斗在党和人民最需要的地方 ——广大党员干部挺身而出、英勇奋战在抗疫一线系列之五 “武汉胜则湖北胜,湖北胜则全国胜。”疫情发生后,在党中央统一领导下,广大医务工作者、人民子弟兵和各方面人员闻令而动、逆向...

  • “酷”大脑研究的扭曲观念扼杀了心理治疗

    “酷”大脑研究的扭曲观念扼杀了心理治疗

    发布时间:2020/03/31

      ‘对于人类的每一个问题,总是存在着众所周知的解决方案-简洁,合理和错误。” 人类从来没有遇到过比了解我们自己的人性更复杂的问题。而且,不乏任何试图探究其深度的简洁,合理和错误的答案。 在我职业生...

  • SpaceX赢得NASA合同,使用新型Dragon XL工艺将货物运送到月球网关

    SpaceX赢得NASA合同,使用新型Dragon XL工艺将货物运送到月球网关

    发布时间:2020/03/31

      美国国家航空航天局(NASA)挖掘出一种尚未建造的SpaceX货运飞船,用于向尚未发射的绕月轨道前哨基地运送补给品。 SpaceX的机器人Dragon XL是其主力Dragon太空船的圆柱形超大型版本,将作为第一批从NASA获得...

  • Spaces应用程序使人们可以参加VR中的Zoom会议

    Spaces应用程序使人们可以参加VR中的Zoom会议

    发布时间:2020/03/30

      一个名为Spaces的新PC VR应用程序使用户可以从VR内部加入Zoom会议和其他视频通话。 该应用是根据最近发生的COVID-19大流行而开发的,该大流行已经使世界各地许多人在家中工作并使用诸如Zoom之类的虚拟会议...

  • 汇盈医疗声称其AI可以从CT扫描中检测冠状病毒,准确率达96%

    汇盈医疗声称其AI可以从CT扫描中检测冠状病毒,准确率达96%

    发布时间:2020/03/30

      总部位于中国惠州的医疗设备公司慧英医疗声称已开发出一种AI成像解决方案,该解决方案使用CT胸部扫描来检测COVID-19的存在。该公司断言,如果不使用逆转录聚合酶链反应(RT-PCR)(COVID-19的标准测试方法),...

新的TortoiseShell集团扼杀11家IT提供商以吸引他们的客户

发布时间:2019/09/20 商业 浏览次数:354

 
安全研究人员称之为TortoiseShell的新发现的威胁组织正在危害IT提供商,这似乎是旨在接触特定客户网络的供应链攻击。
演员最早的活动标志已经追溯到2018年7月,尽管它可能已经运行了很长时间。威胁组最近一次活跃的时间是两个月前,即七月份。
Group使用自定义恶意软件和公共工具
赛门铁克的安全研究人员确定了受到TortoiseShell攻击的11个组织。大多数目标都位于沙特阿拉伯,至少有两种情况有足够的线索可以得出结论,攻击者拥有域管理员的权限,可以访问网络上的所有系统。
研究人员说,有两名受害者,TortoiseShell感染了数百台主机,可能是因为他们需要找到感兴趣的机器。
赛门铁克在今天发布的一份报告中说:“这是一种异常大量的计算机,它们会在目标攻击中受到攻击。”
研究人员表示,该组织依赖于定制和现成的恶意软件来进行操作。 TrotoiseShell使用的一个威胁是Syskit木马,这是8月21日发现的一个自定义后门。
恶意软件向其命令和控制(C2)发送属于受感染主机的服务器系统相关数据。详细信息包括(IP地址,操作系统版本,计算机名称,MAC地址,运行应用程序和网络连接。
它还可以执行来自C2的命令,用于下载其他恶意软件并启动PowerShell以解压缩文件或在命令提示符控制台中运行命令。
赛门铁克看到的其他工具是公开可用的,并计算两个信息窃取程序和PowerShell脚本:
•Infostealer / Sha.exe / Sha432.exe
•Infostealer / stereoversioncontrol.exe
•get-logon-history.ps1
这两个获取信息的恶意软件可以收集有关他们登陆的机器的详细信息以及“机器所有用户的Firefox数据”。
这三件恶意软件不是TortoiseShell的完整武器库,因为演员依赖于其他数据转储工具和基于PowerShell的后门。
可能的重叠操作
目前还不清楚对手是如何感染目标的,但研究人员认为,至少有一次,攻击者通过破坏网络服务器获得了访问权限。
此假设基于在一个受害者处发现的Web shell,其解释了如何在网络上部署恶意软件。
“在至少两个受害者网络上,Tortoiseshell将其信息收集工具部署到域控制器上的Netlogon文件夹中。这导致信息收集工具在客户端计算机登录到域时自动执行。” – 赛门铁克
一个TortoiseShell受害者的系统之前已经与Poison Frog妥协,Poison Frog是一个基于PowerShell的后门,与过去与另一个与伊朗政府有关的另一个先进威胁OilRig(a.k.a。APT34,HelixKitten)的活动相关联。
Poison Frog于2019年4月在受害者遭到入侵之前泄露给公众,并在TortoiseShell工具之前一个月被部署。这导致假设有两个不同的操作,OilRig演员不一定参与其中。
赛门铁克表示,IT提供商是一个具有吸引力的目标,因为他们提供“对客户端计算机的高级访问”,这一优势允许发送恶意更新并远程访问它们。
“这提供了对受害者网络的访问,而不必妥协网络本身,如果预期的受害者拥有强大的安全基础设施,这可能是不可能的,并且还降低了发现攻击的风险。” – 赛门铁克
攻击第三方服务提供商所带来的另一个好处是,真正的目标更难以识别,因此也是该活动的真正目的。
这也适用于TortoiseShell,因为研究人员没有关于目标IT提供商的客户档案的详细信息。

姓 名:
邮箱
留 言: