加入收藏 | 设为首页 | 会员中心 | 我要投稿 PHP编程网 - 黄冈站长网 (http://www.0713zz.com/)- 数据应用、建站、人体识别、智能机器人、语音技术!
当前位置: 首页 > 服务器 > 安全 > 正文

说中文的APT使用未知rootkit对知名受害者实施进攻

发布时间:2021-11-10 15:48:16 所属栏目:安全 来源:互联网
导读:根据卡巴斯基的季度报告,2021年第二季度,威胁领域见证了针对Microsoft Exchange服务器攻击的增长。在最 新的2021年APT报告中,卡巴斯基披露了一个独特的长期的攻击行动GhostEmperor的详情,该攻击行动使用Microsoft Exchange漏洞,并使用先进的工具集对知
根据卡巴斯基的季度报告,2021年第二季度,威胁领域见证了针对Microsoft Exchange服务器攻击的增长。在最    新的2021年APT报告中,卡巴斯基披露了一个独特的长期的攻击行动“GhostEmperor”的详情,该攻击行动使用Microsoft Exchange漏洞,并使用先进的工具集对知名受害者进行攻击,而且这次攻击与任何已知的威胁行为者没有关联。
 
 
 
高级持续性威胁(APT)行为者在不断寻找新的以及更为复杂的施展攻击的手段。这也是为什么卡巴斯基研究人员要监控APT组织如何更新他们所使用的工具集的原因。根据卡巴斯基的季度报告,2021年第二季度,威胁领域见证了针对Microsoft Exchange服务器攻击的增长。在最    新的2021年APT报告中,卡巴斯基披露了一个独特的长期的攻击行动“GhostEmperor”的详情,该攻击行动使用Microsoft Exchange漏洞,并使用先进的工具集对知名受害者进行攻击,而且这次攻击与任何已知的威胁行为者没有关联。
 
GhostEmperor是一个由卡巴斯基研究人员发现的说中文的威胁行为者。其攻击目标主要位于东南亚,包括多家政府实体和电信公司。
 
这个威胁行为者之所以突出,是因为它使用了一种之前未知的Windows内核模式的rootkit。Rootkit提供对其目标服务器的远程控制访问。rootkit行动隐蔽,以躲避调查人员和安全解决方案而臭名昭著。为了绕过Windows驱动签名执行机制,GhostEmperor使用了一种加载方案,该方案涉及名为“Cheat Engine”的开源项目的组件。这种先进的工具集是独  一    无    二的,卡巴斯基研究人员认为它与已经知道的威胁者没有任何关联。卡巴斯基专家推测,该工具集至少自 2020年7月以来一直在使用。
 
“随着检测和保护技术不断发展,APT行为者也在不断发展。他们通常会刷新和更新他们的工具集。GhostEmperor是一个明显的例子,说明网络罪    犯如何寻找新的技术和新的漏洞来加以利用。使用之前未知的复杂rootkit,他们给已经确立的针对 Microsoft Exchange 服务器的攻击趋势带来了新问题,”卡巴斯基安全专家David Emm评论说。
 
除了针对Microsoft Exchange服务器的攻击有所增长之外,卡巴斯基专家还发现2021年第二季度APT领域有以下趋势:
 
APT威胁行为者利用漏洞在受攻击的网络中获得最    初的立足点的情况有所增加——包括由漏洞利用程序开发者 “Moses” 开发的零日漏洞和PuzzleMaker、Pulse Secure攻击中使用的漏洞,此外还有Microsoft Exchange服务器漏洞
 
APT威胁行为者继续投资以更新他们所使用的工具集:这不仅包括使用新的平台,还包括使用其他语言,例如WildPressure使用的支持macOS的Python恶意软件
 
尽管有些供应链攻击规模很大,引起了全球的关注,但卡巴斯基专家也观察到了同样成功的低技术攻击,例如BountyGlad、CoughingDOwn和针对Codecov的攻击,这表明低调的攻击活动仍然对安全造成重大威胁
 
想要了解更多有关GhostEmperor和本季度其他重要发现,请阅读Securelist上的20201年第二季度APT趋势报告。这份报告总结了卡巴斯基仅提供给订阅用于的威胁情报报告,其中还包括可复制进行取证分析和恶意软件追踪的感染迹象(IoC)和YARA规则。更多详情,请联系:intelreports@kaspersky.com
 
为了避免成为已知或未知威胁行为者发动的针对性攻击的受害者,卡巴斯基研究人员推荐采取以下措施:
 
让您的SOC团队可以访问最    新的威胁情报(TI)。卡巴斯基威胁情报门户是该公司威胁情报的一站式访问点,提供卡巴斯基20多年来收集的网络攻击数据和洞察。用户可以免费访问其精选功能,检查文件、URL和IP地址。详情请点击这里
 
通过GReAT专家开发的卡巴斯基在线培训提升您的网络安全团队的技能,以应对最    新的针对性威胁
 
为了实现端点界别的检测、调查和及时的事件修复,请部署EDR解决方案,例如卡巴斯基端点检测和响应
 
除了部署基础端点保护之外,请部署能够在早期阶段在网络层面检测高级威胁的企业级安全解决方案,例如卡巴斯基反针对性攻击平台
 
由于很多针对性攻击都是从网络钓鱼或其他社交工程手段开始的,请引入安全意识培训,并向你的团队传授实用技能——例如,通过卡巴斯基自动化安全意识平台实现这一点
 
关于卡巴斯基
 
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最    新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领    先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球240,000家企业客户保护最    重要的东西。

(编辑:PHP编程网 - 黄冈站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的优质浏览效果

        Copygight © 2013-2023 http://www.0713zz.com/ All Rights Reserved. PHP编程网 - 黄冈站长网

        ICP备案:浙ICP备07501134号 浙公网安备 33038102330482号