巴勒斯坦黑客使用 NimbleMamba 木马展开攻击
- A
近期,巴勒斯坦很可能已与一个名为月光鼠黑客组织达成合作,利用名为NimbleMamba的后门病毒实施新一轮攻击。
据企业安全公司 Proofpoint 透露,此次攻击采用非常复杂的攻击链,目标包括中东政府机构、外交部门和航空公司。
安全人员认定攻击来自 Molerats 黑客组织,该黑客组织也被追踪为 TA402、Gaza Hackers Team和Extreme Jackal。
此外,这个黑客组织还有Operation Molerats、Gaza Cybergang、Moonlight、ALUMINUM SARATOGA等不同的名称。
而国内安全公司奇安信于2020年12月在追踪一起安卓端新型恶意RAT时,以内部中文命名方式将其称为月光鼠组织。
据悉,月光鼠组织是一个活跃的高级持续威胁黑客组织,该组织来自中东,主要攻击目标为以色列人和巴勒斯坦人。
提起月光鼠组织,安全行业的朋友应该有所耳闻,其因为不断的更新和变化恶意软件的植入和传播方式而臭名昭著。
2021年06月,安全人员监测到月光鼠组织在针对巴勒斯坦和土耳其人权活动者和记者的攻击中部署 LastConn 后门。
安全研究人员对LastConn后门病毒软件进行分析后,认定这是另外一款被命名为SharpStage的后门病毒的升级版本。
SharpStage病毒曾被用于2020年12月的攻击中,之后黑客组织更新武器库,开发出名为 NimbleMamba 的后门病毒。
而 NimbleMamba 后门病毒软件的诞生,被安全研究人员视为是用来取代 LastConn 后门病毒的新型后门病毒软件。
黑客组织还使用名为BrittleBush的木马与远程C&C服务器通信,检索base64编码命令,便于在受感染的机器上执行。
据悉,NimbleMamba 使用一种类似电子护栏的先进控制技术确保被感染的受害者都处于攻击者设定的目标区域中。
据安全人员溯源分析,发现黑客组织使用NimbleMamba后门病毒实施攻击的事件和分发BrittleBush木马的时间吻合。
而在2021年12月和2022年01月网络攻击中,黑客组织使用Dropbox网址和操控的WordPress网站分发恶意RAR文件。
这个恶意RAR文件中包含 NimbleMamba 和 BrittleBush 两种病毒软件,一旦受害者运行这个恶意压缩文件就会中招。
使用Dropbox等云服务也体现了月光鼠黑客组织不断更新的攻击技术,他们还会根据公开披露的漏洞快速做出反应。
分析月光鼠黑客组织攻击行为,他们将鱼叉式钓鱼邮件作为起点,邮件中包含用户位置检测、恶意软件指向等信息。
这就意味着在攻击发动之前他们会先对有效攻击范围进行筛查,以确保收件人处于已经之前已经设计好的攻击范围。
如果目标地理位置处于攻击半径之外,那么钓鱼邮件里的链接会在用户点击时,指向如 Emarat Al Youm 等良性网站。
这不仅说明了月光鼠组织攻击行为的针对性,也说明他们的攻击行为的高机动性,能随时修正攻击半径甚至攻击链。
