https://thehackernews.com/2022/02/iranian-hackers-using-new-spying.html
攻撃は、最初のアクセスを取得するためにスピアフィッシングメッセージを介して調整され、その後、横方向の移動と環境へのアクセスの維持のために公開されている攻撃的なセキュリティツールとリモートアクセスソフトウェアを利用したと言われています。
「UNC3313は、最初の侵害から1時間以内に、ScreenConnectを使用してシステムに侵入することにより、リモートアクセスを確立するために迅速に動きました」と研究者は指摘し、セキュリティインシデントは迅速に封じ込められ、修正されました。
攻撃の後続のフェーズでは、特権の昇格、対象ネットワークでの内部偵察の実行、難読化されたPowerShellコマンドの実行によるリモートシステムへの追加のツールとペイロードのダウンロードが行われました。
これは、検出を回避するために攻撃者が制御するサーバーとのネットワーク通信にTelegram APIを使用していることから名付けられました。
この調査結果は、英国と米国のサイバーセキュリティ機関による新しい共同勧告とも一致しており、世界中の防衛、地方自治体、石油、天然ガス、電気通信セクターを標的としたスパイ攻撃のMuddyWaterグループを非難しています。
Telegram Messenger APIを悪用する新しいスパイマルウェアを使用するイランのハッカー、noreply @ blogger.com(Ravie Lakshmanan)
security summary
コメント