研究人员拆除十年漫长的伊朗讯连讯讯
2021-07-06 13:44:05 [来源]:
伊朗春天的基础设施用于控制世界各地的受感染的计算机已被安全研究人员劫持。
Palo Alto Networks的研究人员今年早些时候遇到了本集团的活动,但发现其证据表明它自2007年以来一直在运营。其主要工具是一个定制的恶意软件程序,多年来一再提高。
研究人员与域名注册商合作,抓住攻击者使用的域来控制受到感染的计算机和将受害者的流量直接到填充器服务器 - 研究人员控制的服务器。
然后将服务器的控制转移到ShadowServer基金会,这是一个跟踪僵尸网络的行业组,并与ISP和其他方向工作通知受害者。
下沉命令和控制(C2)基础设施带走了黑客“能够从受害者窃取数据,他们在意识到某些东西时试图纠正他们不成功的东西。
Palo Alto研究人员在35个国家观察了326个感染的电脑,其中几乎一半位于伊朗。这表明黑客集团专注于伊朗公民,可能是为了监督目的。
与网络犯罪活动相比,受害者总数相对较低,但对于春季行动而言并不罕见,这是根据本质上的定义。
有大约50%的受害者感染了界限和菲尔文,更新的恶意软件变种,表明这些受害者可能是高价值的目标值得更加关注。
它可能会在未来的新攻击活动中返回,但它赢得了很容易重建他们的基础设施。再次损害相同的目标也可能难以困难,特别是因为Shadowserver致力于通知受害者。
Palo Alto Networks已经共享了妥协和疑问样本哈希的指标,因此如果他们希望将来保持未被发现,攻击者将不得不改造整个操作。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。