小編的世界 優質文選 主機
字體大小:
2021年2月01日 -
:
cnBeta
優質創作者
攻擊流程示意(圖自:Clearsky)
在今日發布的一份報告中,Clearsky 宣稱發現了至少 250 台被 LC 黑客入侵的服務器:
這些攻擊似乎旨在收集相關情報,竊取包含敏感數據的企業數據庫。對於電信企業來說,LC 黑客顯然也對包含通話記錄 / 客戶私人信息的數據庫有濃厚的興趣。
網絡安全研究人員指出,LC 黑客似乎遵循著一種簡單的模式:
他們會先用開源的黑客掃描工具對運營商展開互聯網掃描,以查找未打補丁的 Atlassian 和 Oracle 服務器。然後利用相關漏洞方法來訪問服務器並植入 Web Shell,以便其將來訪問。
在完成上述准備工作之後,LC 黑客會利用暗中部署的 Web Shell 對目標企業的內網展開攻擊,並從中竊取私密文檔。
具體說來是,LC 黑客使用 CVE-2019-3396 漏洞攻擊了 Atlassian Confluence、利用 CVE-2019-11581 漏洞侵入了 Atlassian Jira、以及借助 CVE-2012-3152 漏洞攻破了 Oracle Fusion 。
已知 LC 黑客攻擊事件受害者列表(來自:PDF)
一旦獲得了對這些系統的訪問權限,攻擊者就會部署 ASPXSpy、Caterpillar 2、Mamad Warning 之類的 Web Shell,以及名為 JSP 的開源文件瀏覽器(同樣可充當 Web Shell)。
接著在目標企業的內部網絡上,攻擊者會部署功能更加強大的 Explosive 遠程訪問木馬(RAT),以實施進一步的數據滲透(之前用過的老套路)。
Clearsky 指出,之所以將 LC 黑客攻擊事件與真主党武裝有關,是因為截至目前,這款 RAT 工具一直被它們所專門使用。
與此同時,網絡安全研究人員也指出了 LC 黑客犯下的某些失誤,比如經常在入侵過程中使用同樣的文件,使得外界可以對該組織的活動軌跡展開更好的追溯。
目前已知的 LC 黑客事件受害者,包括了埃及的沃達豐、阿聯酋航空、沙特 SaudiNet 電信公司、以及美國的 Frontier Communications 等企業。