医疗实验室、运输公司受到新威胁组织 Hydrochasma 的攻击 媒体
Hydrochasma:新的网络威胁针对亚洲医疗行业
主要收获
Hydrochasma是一个新的攻击者,专注于亚太地区的医疗实验室和运输公司,进行网络钓鱼攻击,可能是为了情报收集。该组织专注于涉及COVID19治疗和疫苗的行业,并使用公开可用的工具进行攻击。攻击者使用网络钓鱼电子邮件入侵系统,并通过安装后门工具从内部访问网络。目前尚未发生数据外泄,攻击的目的更倾向于情报收集。根据Symantec研究人员的报导,新的威胁行为者Hydrochasma专门针对亚太地区的医疗实验室及运输公司进行钓鱼攻击,这似乎是一次情报收集行动。到目前为止,该攻击者尚未与任何已知的组织联系起来。
Hydrochasma似乎主要关注涉及COVID19治疗或疫苗的行业,并仅使用公开可得及依赖现有环境的工具。尽管这些攻击尚未扩展至美国,但由于其新型攻击手法的严重性,当局需要进行预防性的回顾以防止潜在的利用。
dove加速器官网下载使用的工具
工具名称描述Dogz免费的VPN代理工具SoftEtherVPN开源的VPN解决方案Gogo扫描工具专为红队设计的扫描工具MeterpreterMetasploit框架的一部分,可以用于远程访问这些开源工具中包括两款VPN软体:Dogz 和 SoftEtherVPN。Symantec首次观察到这些工具的存在时,便展开了调查。这些工具如Dogz一样,都是免费开源的,并可用于不同平台。
在此次活动中,攻击者还利用了Gogo扫描工具、Process Dumper以及Cobalt Strike Beacon等工具。同时,他们还使用了名为Gost proxy的隧道工具及Ntlmrelay,这是一种能够“拦截经过验证的身份验证请求以访问网络服务”的攻击手法。
这些工具的使用显示Hydrochasma旨在获得持久并隐秘的访问权限,以便在受害者的网络和设备中提升权限并横向移动。虽然在观察到的活动中未使用某些工具,但它们可能允许远程访问。
攻击途径
攻击者首先通过网络钓鱼电子邮件获得进入网络的机会。感染的初次征兆是一个诱饵文件,其中包含受害者组织的名称用其本地语言和恶意电子邮件附件的指标。另一个诱饵则模拟了一份针对公司的工作职位的简历。成功的钓鱼攻击使攻击者能够访问该机器。
在最初的攻击中,攻击者被发现安装了Fast Reverse ProxyFRP,这能将位于NAT或防火墙后的本地服务器暴露于互联网。这一策略导致了一个合法的Microsoft Edge更新,进而传播到连接的设备上。
然而,“这个文件实际上是Meterpreter,一种Metasploit框架中的工具,可用于远程访问。”
尽管一些工具具备数据外泄的能力,此次观察到的攻击并未包括数据外泄的行为。Symantec认为这些攻击旨在进行情报收集。值得注意的是,Hydrochasma在这些攻击中并未使用自定义的恶意软件。
报告中包含了一系列目前的妥协指标,以助于识别和归因。Hydrochasma加入了针对与COVID19解决方案及相关行业实体的攻击者行
