網絡安全公司threatconnect釋出報告指出,最近巴勒斯坦民族權力機構(palestinian authority)選舉活動被新型惡意軟體kasperagent攻擊。目前尚不清楚這起攻擊活動的始作俑者和确切目标。
kasperagent的攻擊戰術
kasperagent攻擊者使用的戰術包括:帶有惡意軟體的假新聞網站、帶有政治緊張局勢和加沙地區以色列暗殺等内容的魚叉式網絡釣魚資訊、以及加沙人注冊的攻擊基礎設施。
研究人員寫到,不清楚誰是這起活動的始作俑者,但研究人員挖掘被動dns結果後發現了其指令與控制基礎設施的面包屑。
e安全注:反向dns和被動dns結果
kasperagent的攻擊目标
去年,kasperagent最初被安全公司palo alto networks發現。這款惡意軟體瞄準microsoft windows系統,被攻擊者用來攻擊美國、以色列、巴勒斯坦和埃及。最新的攻擊活動表明,這款惡意軟體的新變種已被用來攻擊中東地區的目标。
攻擊活動的發起時間恰逢加沙地區的日益緊張政治緊張局勢。以及上個月約旦河西岸的預備選舉預備。誘餌檔案看似是官方政府的機密,這表明目标可能是政府雇員或承包商。
kasperagent的攻擊過程
攻擊者在魚叉式網絡釣魚資訊和假新聞網站中使用縮短url,引導受害者下載下傳payload。kasperagent允許攻擊者不同程度地監視目标,包括竊取密碼、截圖、記錄擊鍵以及竊取檔案。
當palo alto networks最初發現kasperagent時,他們還發現了另一個針對中東地區的惡意軟體家族micropsia。
今年4月,threatconnect偶然發現一個惡意軟體檔案“لتفاصيل الكاملة لأغتيال فقهاء.r24”,翻譯過來的意思是“fuqaha暗殺的完整細節”。
2017年3月24日伊斯蘭哈馬斯運動的軍事指揮官mazen fuqaha遭遇暗殺。之後,檔案連接配接到一個域名,經palo alto networks确定,該域名為kasperagent所用。
這起網絡攻擊活動中使用的幾個誘餌檔案聲稱是巴勒斯坦民族權力機構解決政治問題(例如fuqaha之死)的“絕密”檔案。
threatconnect調查這起網絡攻擊活動的基礎設施後發現,兩個域名注冊在巴勒斯坦加沙一個自由網絡開發者名下。
研究人員表示僅憑這一點并無法确定歸因,他們無法确定這起活動的幕後黑手,也無法确定目标意圖。根據他們的了解,幾個惡意軟體檔案被送出到了巴勒斯坦地區的公共惡意軟體分析網站,這就表明,威脅攻擊者或其中一個目标有可能位于該地區。
本文轉自d1net(轉載)
![圖解HTTP八:确認通路使用者身份的認證[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)