🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

俄乌网络战密集开火!11家乌克兰电信公司遭沙虫组织入侵

安全内参编译 安全内参
2024-08-29

关注我们

带你读懂网络安全


俄罗斯著名黑客组织沙虫出手,对乌克兰境内电信公司展开持续网络“轰炸”。


前情回顾·俄乌网络战前线
安全内参10月18日消息,今年5月至9月期间,有官方背景的俄罗斯黑客组织“沙虫”(Sandworm)已经成功侵入11家乌克兰电信公司。乌克兰计算机应急响应组(CERT-UA)发布最新报告,援引“公开信源” 和部分遭攻击电信服务提供商提供的信息,确认发生上述情况。该机构表示,这些俄罗斯黑客“干扰了”乌克兰国内11家电信公司的通信系统,导致服务中断,或引发数据泄露。沙虫是一个非常活跃的间谍威胁组织,与俄罗斯军事情报总局有关联。2023年,该组织一直将乌克兰作为主要目标,使用钓鱼诱骗、安卓恶意软件和数据清除工具发动攻击。


电信业成俄乌网络战受害重灾区


乌克兰计算机应急响应组报告称,沙虫组织首先使用“masscan”工具对电信公司的网络进行侦察,扫描目标网络。masscan脚本范例(来源:乌克兰计算机应急响应组)沙虫寻找开放端口和未受保护的RDP或SSH接口,以便侵入网络。此外,攻击者还使用“ffuf”、“dirbuster”、“gowitness”和“nmap”等工具在Web服务中查找可以用来获取访问权限的潜在漏洞。他们还会利用没有启用多重身份验证的受影响VPN账户获取网络访问权限。为了使入侵更加隐蔽,沙虫使用“Dante”、“socks5”和其他代理服务器将他们的恶意活动路由到之前已经成功侵入的乌克兰地区互联网内的服务器,让活动显得不那么可疑。乌克兰计算机应急响应组报告称,他们在遭受攻击的互联网服务提供(ISP)系统中发现了两个后门,分别是“Poemgate”和“Poseidon”。Poemgate抓取在受影响端点进行身份验证的管理员的凭证,为攻击者提供访问其他账户的权限,可用于横向移动或加深网络渗透。Poseidon是一个Linux后门,乌克兰计算机应急响应组表示这个后门“包括一整套远程计算机控制工具”。Poseidon通过修改Cron添加恶意任务,实现持久化。修改Cron二进制文件将Poseidon后门持久化(来源:乌克兰计算机应急响应组)沙虫使用“Whitecat”工具抹除攻击痕迹并删除访问日志。在攻击的最后阶段,黑客们在部署会导致服务中断的脚本,脚本专门针对MikroTik公司设备设计。他们还删除备份,加大恢复难度。瘫痪MikroTik设备的脚本(来源:乌克兰计算机应急响应组)乌克兰计算机应急响应组建议全国所有服务提供商遵循他们的建议,加强系统安全性,减少网络入侵者侵入的机会。


参考资料:bleepingcomputer.com


推荐阅读




点击下方卡片关注我们,
带你一起读懂网络安全 ↓


继续滑动看下一个
安全内参
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存