以色列Clearsky曝光遭LC黑客入侵的250多台電信企業服務器

cnBeta

優質創作者

攻擊流程示意（圖自：Clearsky）

在今日發布的一份報告中，Clearsky 宣稱發現了至少 250 台被 LC 黑客入侵的服務器：

這些攻擊似乎旨在收集相關情報，竊取包含敏感數據的企業數據庫。對於電信企業來說，LC 黑客顯然也對包含通話記錄 / 客戶私人信息的數據庫有濃厚的興趣。

網絡安全研究人員指出，LC 黑客似乎遵循著一種簡單的模式：

他們會先用開源的黑客掃描工具對運營商展開互聯網掃描，以查找未打補丁的 Atlassian 和 Oracle 服務器。然後利用相關漏洞方法來訪問服務器並植入 Web Shell，以便其將來訪問。

在完成上述准備工作之後，LC 黑客會利用暗中部署的 Web Shell 對目標企業的內網展開攻擊，並從中竊取私密文檔。

具體說來是，LC 黑客使用 CVE-2019-3396 漏洞攻擊了 Atlassian Confluence、利用 CVE-2019-11581 漏洞侵入了 Atlassian Jira、以及借助 CVE-2012-3152 漏洞攻破了 Oracle Fusion 。

已知 LC 黑客攻擊事件受害者列表（來自：PDF）

一旦獲得了對這些系統的訪問權限，攻擊者就會部署 ASPXSpy、Caterpillar 2、Mamad Warning 之類的 Web Shell，以及名為 JSP 的開源文件瀏覽器（同樣可充當 Web Shell）。

接著在目標企業的內部網絡上，攻擊者會部署功能更加強大的 Explosive 遠程訪問木馬（RAT），以實施進一步的數據滲透（之前用過的老套路）。

Clearsky 指出，之所以將 LC 黑客攻擊事件與真主党武裝有關，是因為截至目前，這款 RAT 工具一直被它們所專門使用。

與此同時，網絡安全研究人員也指出了 LC 黑客犯下的某些失誤，比如經常在入侵過程中使用同樣的文件，使得外界可以對該組織的活動軌跡展開更好的追溯。

目前已知的 LC 黑客事件受害者，包括了埃及的沃達豐、阿聯酋航空、沙特 SaudiNet 電信公司、以及美國的 Frontier Communications 等企業。