新的TortoiseShell集团扼杀11家IT提供商以吸引他们的客户

 
安全研究人员称之为TortoiseShell的新发现的威胁组织正在危害IT提供商，这似乎是旨在接触特定客户网络的供应链攻击。
演员最早的活动标志已经追溯到2018年7月，尽管它可能已经运行了很长时间。威胁组最近一次活跃的时间是两个月前，即七月份。
Group使用自定义恶意软件和公共工具
赛门铁克的安全研究人员确定了受到TortoiseShell攻击的11个组织。大多数目标都位于沙特阿拉伯，至少有两种情况有足够的线索可以得出结论，攻击者拥有域管理员的权限，可以访问网络上的所有系统。
研究人员说，有两名受害者，TortoiseShell感染了数百台主机，可能是因为他们需要找到感兴趣的机器。
赛门铁克在今天发布的一份报告中说：“这是一种异常大量的计算机，它们会在目标攻击中受到攻击。”
研究人员表示，该组织依赖于定制和现成的恶意软件来进行操作。 TrotoiseShell使用的一个威胁是Syskit木马，这是8月21日发现的一个自定义后门。
恶意软件向其命令和控制(C2)发送属于受感染主机的服务器系统相关数据。详细信息包括(IP地址，操作系统版本，计算机名称，MAC地址，运行应用程序和网络连接。
它还可以执行来自C2的命令，用于下载其他恶意软件并启动PowerShell以解压缩文件或在命令提示符控制台中运行命令。
赛门铁克看到的其他工具是公开可用的，并计算两个信息窃取程序和PowerShell脚本：
•Infostealer / Sha.exe / Sha432.exe
•Infostealer / stereoversioncontrol.exe
•get-logon-history.ps1
这两个获取信息的恶意软件可以收集有关他们登陆的机器的详细信息以及“机器所有用户的Firefox数据”。
这三件恶意软件不是TortoiseShell的完整武器库，因为演员依赖于其他数据转储工具和基于PowerShell的后门。
可能的重叠操作
目前还不清楚对手是如何感染目标的，但研究人员认为，至少有一次，攻击者通过破坏网络服务器获得了访问权限。
此假设基于在一个受害者处发现的Web shell，其解释了如何在网络上部署恶意软件。
“在至少两个受害者网络上，Tortoiseshell将其信息收集工具部署到域控制器上的Netlogon文件夹中。这导致信息收集工具在客户端计算机登录到域时自动执行。” – 赛门铁克
一个TortoiseShell受害者的系统之前已经与Poison Frog妥协，Poison Frog是一个基于PowerShell的后门，与过去与另一个与伊朗政府有关的另一个先进威胁OilRig(a.k.a。APT34，HelixKitten)的活动相关联。
Poison Frog于2019年4月在受害者遭到入侵之前泄露给公众，并在TortoiseShell工具之前一个月被部署。这导致假设有两个不同的操作，OilRig演员不一定参与其中。
赛门铁克表示，IT提供商是一个具有吸引力的目标，因为他们提供“对客户端计算机的高级访问”，这一优势允许发送恶意更新并远程访问它们。
“这提供了对受害者网络的访问，而不必妥协网络本身，如果预期的受害者拥有强大的安全基础设施，这可能是不可能的，并且还降低了发现攻击的风险。” – 赛门铁克
攻击第三方服务提供商所带来的另一个好处是，真正的目标更难以识别，因此也是该活动的真正目的。
这也适用于TortoiseShell，因为研究人员没有关于目标IT提供商的客户档案的详细信息。