2018年,已知由多个复杂程度不同的网络犯罪组织组成的加沙网络犯罪集团对与中东政治利益攸关的个人和组织发动了网络间谍攻击。这种被称为SneakyPastes的攻击行动使用一次性电子邮件地址通过网络钓鱼传播感染,之后使用多个免费网站分阶段下载恶意软件。这种成本低廉,但是却有效的攻击手段帮助该犯罪集团成功攻击了全球39个国家约240名重要的受害者,其中包括政治机构、外交机构、媒体和激进主义组织等。卡巴斯基实验室将研究结果与执法机关进行了分享,从而导致大部分攻击基础设施被打掉。
加沙网络犯罪集团是一个说阿拉伯语,出于政治动机的网络犯罪组织的集合, 这些组织积极针对中东和北非实施攻击, 特别关注巴勒斯坦领土。卡巴斯基实验室发现该集团至少包含三个犯罪组织,起目的和攻击对象非常相似——都是对中东政治利益相关组织和个人实施网络间谍攻击——但是他们使用的工具、攻击技巧以及攻击的复杂程度各不相同。它们之间存在共享和重叠的要素。
这些组织中包括较为高级的Operation Parliamen和Desert Falcon网络犯罪组织,分别于2018年和2015年被发现,还包括一个较为基础的复杂性较低的被称为MoleRats的网络犯罪组织,该组织至少从2012年起就开始活跃。2018年春季,这个基础组织发动了SneakyPastes攻击行动。
SneakyPastes攻击行动从政治主题的网络钓鱼攻击开始,使用一次性电子邮件地址和域名进行传播。用户点击或下载恶意链接或附件后,恶意软件会被安装到受害者设备上,造成感染。
为了避免被检测出来,同时为了隐藏命令和控制服务器的位置,还会分阶段使用一定数量的免费网站(包括Pastebin和Github)下载额外的恶意软件到受害者设备。各种恶意植入物使用PowerShell、VBS、JS和dotnet来保护受感染系统中的弹性和持久性。入侵的最后阶段
是使用一款远程访问木马,通过它与命令和控制服务器联系,然后收集、压缩、加密并上传各种被盗文件和电子表格。SneakyPastes的名字来自于攻击者大量使用粘贴网站来逐步将远程访问工具(RAT)植入受害者系统。
卡巴斯基实验室研究人员与执法机关合作,揭示了SneakyPastes的整个攻击和入侵周期。这些努力不仅让我们更为详细地了解了他们所使用的工具、技巧以及攻击目标,还帮助我们真正打掉了大部分的攻击基础设施。
SneakyPastes攻击行动在2018年4月至11月中旬期间最为活跃,其重点关注一小部分目标,由外交和政府机构、非盈利组织和媒体机构组成。使用卡巴斯基实验室的遥测数据和其他数据来源,我们发现其受害者遍及全球39个国家约240个(包括个人受害者和企业以及组织),这些受害者大部分位于巴基斯坦、约旦、以色列和黎巴嫩境内。受害者包括大使馆、政府实体、媒体机构以及记者、激进主义者、政治团体和个人,还包括教育、银行、医疗保健和承包组织。
卡巴斯基实验室全球研究和分析团队(GReAT)中东研究中心负责人Amin Hasbini说:“2015年 Desert Falcons的发现标志着威胁形势的转折点,因为它是当时第一个发现的完全讲阿拉伯语的APT。现在我们知道,其先辈加沙网络犯罪集团自从2012年以来就一直在中东地区活跃,其最初主要依靠相对不复杂但是不懈进行攻击的团队发动攻击——该团队在2018年发动了SneakyPastes攻击行动。SneakyPastes攻击行动表明,缺乏基础设施和先进工具并不妨碍成功。我们预计所有三个加沙网络犯罪组织所造成的破坏将加剧,并且攻击将延伸到与巴勒斯坦问题有关的其他区域”。
所有卡巴斯基实验室产品均能够成功检测和拦截这种威胁。
为了避免成为已知或未知针对性攻击的受害者,卡巴斯基实验室研究人员建议采取以下措施:
· 使用高级安全工具,例如卡巴斯基反针对性攻击平台(KATA),同时确保您的安全团队可以访问到最新的网络威胁情报。
· 确保定期对您所在组织所使用的所有软件进行更新,特别是有新的安全补丁发布时。具备漏洞评估和补丁管理功能的安全产品可以帮助自动化实现这一过程。
· 使用经过验证的具备基于行为检测功能的安全解决方案(例如卡巴斯基端点安全),以有效地拦截已知和未知威胁,包括漏洞利用程序。
· 确保您的员工了解基本的网络安全卫生知识,因为很多针对性攻击都是从网络钓鱼或其他社交工程手段开始的。
关于加沙网络犯罪集团发动的SneakyPastes攻击行动的详细报告,请参见Securelist.