2025年初,卡巴斯基全球研究与分析团队(GReAT)发现APT组织“Mysterious Elephant”发起新一轮攻击行动。该组织主要针对亚太地区政府机构及外交事务组织,重点锁定巴基斯坦、孟加拉国、阿富汗、尼泊尔和斯里兰卡等国家。攻击者的目的是窃取高度敏感的信息,包括文档、图像和存档文件,并特别针对WhatsApp数据实施窃取。
该组织2025年的攻击行动标志着其战术、技术和程序(TTP)发生了重大转变:攻击者已转向混合使用定制工具和开源工具来实现其目标。攻击者现在综合运用漏洞利用工具包、个性化鱼叉式钓鱼邮件和恶意文档,针对特定受害者量身定制攻击方案以获取初始访问权限。成功入侵网络后,其运用多种工具与技术手段实现权限提升、横向移动及敏感数据窃取。
PowerShell 脚本构成了Mysterious Elephant行动的核心支柱,使该组织能够在受感染的系统上执行命令、部署额外的恶意软件并维持持久性。这些脚本利用合法的工具和系统实用程序来执行恶意操作。
该威胁组织的核心武器是BabShell,这是一种能让攻击者直接访问受感染主机的反向Shell。一旦执行,该工具会收集包括用户名、计算机名和MAC地址在内的关键系统信息,用于唯一识别目标设备。BabShell还可作为高级攻击模块的启动平台,例如MemLoader HidenDesk模块能够在内存中执行恶意载荷,并通过加密压缩技术规避检测。
这次攻击活动因其专注于对 WhatsApp 数据的窃取而尤为引人注目。攻击者开发了专门的模块,能够窃取通过该应用程序共享的文件,包括敏感文档、照片和存档文件。
“该威胁组织的基础设施专为隐蔽性和韧性而构建,综合运用了域名与IP地址网络、通配符DNS记录、虚拟专用服务器(VPS)及云托管服务。利用通配符DNS记录,攻击者能够为每个请求生成独特子域名,实现快速扩展攻击规模,并有效阻碍安全团队的追踪分析,”卡巴斯基全球研究与分析团队(GReAT)高级安全研究员Noushin Shabab评论说:“了解该组织的战术、技术和程序(TTPs)、共享威胁情报以及实施有效的应对措施,对于降低成功攻击的风险并保护敏感信息不落入不法分子手中至关重要。组织还应该实施强大的安全措施,包括定期的软件更新、网络监控和员工培训。”
为有效防范此类攻击,建议各组织和企业遵循以下最佳安全实践:
· 确保在组织内所有工作站上无一例外地部署安全代理,以便及时检测安全事件并最大限度减少潜在损害。
· 审查和控制服务和用户账户权限,避免授予过高系统权利——特别是在基础架构内跨多台主机使用的账户。
· 为了保护公司免受各种威胁,请使用卡巴斯基 Next 产品线中的解决方案,这些解决方案为任何规模和行业的组织提供实时保护、威胁可见性以及 EDR(端点检测与响应)和 XDR(扩展检测与响应)的调查和响应能力。您可以根据当前的需要和可用资源,选择最相关的产品级别,并在网络安全需求发生变化时轻松迁移到另一个级别。
· 采用卡巴斯基的托管安全服务,例如入侵评估、托管检测与响应(MDR)和/或事件响应,涵盖整个事件管理周期——从威胁识别到持续保护和修复。这些服务能帮助企业抵御隐蔽性网络攻击、调查安全事件,并在缺乏网络安全人员的情况下获取专业技术支持。
· 为您的信息安全专业人员提供针对贵组织的网络威胁深度可视化。最新的卡巴斯基威胁情报服务将为其呈现覆盖完整事件管理周期的丰富情境数据,帮助团队及时识别网络安全风险。
关于全球研究与分析团队
全球研究与分析团队(GReAT)成立于 2008 年,是卡巴斯基的核心部门,负责揭露 APT、网络间谍活动、重大恶意软件、勒索软件和全球地下网络犯罪趋势。目前,GReAT 由 40 多名专家组成,他们在欧洲、俄罗斯、美洲、亚洲和中东等全球范围内工作。这些才华横溢的安全专业人员为公司的反恶意软件研究和创新发挥着领导作用,他们以无与伦比的专业知识、热情和好奇心致力于发现和分析网络威胁。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的个人用户、企业、关键基础设施和政府提供安全保护。该公司全面的安全产品组合包括领先的个人设备数字生活保护、面向企业的专业安全产品和服务,以及用于对抗复杂且不断演变的数字威胁的网络免疫解决方案。我们为数百万个人用户及近20万企业客户守护他们最珍视的数字资产。
编辑:牟玉珍
原标题:卡巴斯基在亚太区检测到新的Mysterious Elephant活动
广告
广告
广告
