卡巴斯基托管检测与响应专家发现一起针对南部非洲一家组织的网络间谍攻击,并将其与中文系APT41组织关联。尽管该攻击者在南部非洲的活动记录有限,但此次事件表明,攻击者已瞄准该地区某国的政府IT服务系统,企图窃取包括凭证、内部文件、源代码和通信记录在内的敏感企业数据。攻击者部署了多种窃取工具,如Pillager、Checkout等。
根据回溯威胁追踪分析,卡巴斯基专家得出结论:攻击者很可能是通过暴露在互联网上的网络服务器入侵了该组织的内部系统。利用一种称为注册表转储的凭证收集技术,攻击者获取了两个企业域账户:一个具有所有工作站的本地管理员权限,另一个属于备份解决方案,具备域管理员特权。这些账户使攻击者能够进一步侵入组织内的其他系统。
攻击者在此次攻击中使用的TTP(技术、战术和程序)以及命令和控制服务器(C2)情况,让卡巴斯基比较有把握地将其同中文系威胁组织APT41[1]联系起来。值得注意的是,APT41在南部非洲地区的活动通常非常有限。此次攻击的主要目标是实施网络间谍活动,这完全符合该组织的典型行为模式。攻击者试图从该机构网络内被入侵的机器中窃取敏感数据。
攻击者用于数据窃取的工具之一是被篡改过的Pillager实用程序,该应用程序旨在导出和解密数据。攻击者将其代码从可执行文件重新编译为动态链接库(DLL)。利用它,攻击者试图收集浏览器、数据库、管理工具的保存凭据,以及项目源代码、屏幕截图、活动聊天会话及其数据、电子邮件通信、已安装软件列表、操作系统凭证、Wi-Fi凭证和其他信息。
攻击中使用的第二个窃取工具是Checkout。该工具除了保存的凭证和浏览器历史记录外,还能够收集有关下载文件和浏览器存储的信用卡数据信息。攻击者还使用RawCopy实用程序和编译为动态链接库 (DLL) 的Mimikatz版本来转储注册表文件和凭证,并且会使用Cobalt Strike在被入侵的主机上进行C2通信。
“有趣的是,除了Cobalt Strike之外,攻击者还选择受害者基础设施中的SharePoint服务器作为其C2通信渠道之一。他们使用与web-shell连接的自定义C2代理与之通信。他们之所以选择SharePoint,可能是因为它已经是基础设施中存在的内部服务,不太容易引起怀疑。此外,这种情况下,SharePoint很可能为攻击者提供了最便捷的数据外泄途径,即通过合法通信渠道控制被入侵的主机,”卡巴斯基托管检测和响应服务首席SOC分析师Denis Kulik解释说:“总的来说,如果没有全面的专业知识和对整个基础设施的持续监控,防御此类复杂的攻击是不可能的。关键在于实现覆盖所有系统的安全防护,部署能在早期阶段自动阻断恶意活动的解决方案,同时严格避免为用户账户授予过高权限。”
总体来看,APT41专门从事网络间谍活动,其攻击目标遍布各个行业的组织,包括电信提供商、教育和医疗机构、IT行业、能源和其他部门,已知的活动范围至少涉及42个国家。有关该威胁的详细分析报告,请参阅Securelist。为了消除或防范此类攻击风险,建议组织采取以下措施:
● 确保在组织内的所有工作站上都部署安全代理,做到无一例外,以便及时检测事件并最大限度地减少潜在损害。
● 审查并管控服务及用户账户权限,避免授予过高权限——特别是对基础设施中跨多台主机使用的账户更需严格限制。
● 为了保护企业免遭各种威胁的侵害,请使用来自卡巴斯基Next产品线的解决方案,这些解决方案提供实时保护、威胁可见性、调查以及EDR和XDR的响应能力,适用于任何规模和行业的组织。根据您当前的需求和可用资源,您可以选择最相关的产品层级,如果您的网络安全要求发生变化,也可以轻松迁移到另一个层级。
● 采用卡巴斯基提供的托管安全服务,例如入侵评估、托管检测和响应(MDR) 和/或事件响应服务,涵盖整个事件管理周期——从威胁识别到持续保护和补救。即使公司缺乏网络安全人员,这些服务也有助于防御隐蔽的网络攻击、调查事件并获得额外的专业知识。
● 为信息安全专业人员提供针对您组织的网络威胁深度洞察。最新的卡巴斯基威胁情报将为他们提供贯穿整个事件管理周期的丰富且有价值的背景信息,帮助他们及时识别网络风险。
卡巴斯基托管检测和响应服务监控可疑活动,并帮助组织迅速响应以最大限度地减少影响。这是卡巴斯基安全服务的一部分,该团队每年为《财富》全球 500 强组织交付数百个信息安全项目,其中包括事件响应、托管检测、SOC咨询、红队演练、渗透测试、应用安全及数字风险防护等全方位安全服务。
[1]APT(高级持续性威胁)是一类威胁行为者,他们以对特定组织进行协调一致、隐秘且持续的攻击而闻名,这与大多数网络犯罪活动中发生的偶然的、孤立的事件不同。
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情,请访问
西门子(SIEMENS)274升大容量家用三门冰箱 混冷无霜 零度保鲜 独立三循环 玻璃面板 支持国家补贴 KG28US221C
苏泊尔电饭煲家用3-4-5-8个人4升电饭锅多功能一体家用蓝钻圆厚釜可做锅巴饭煲仔饭智能煮粥锅预约蒸米饭 不粘厚釜 4L 5-6人可用
绿联65W氮化镓充电器套装兼容45W苹果16pd多口Type-C快充头三星华为手机MacbookPro联想笔记本电脑配线元
KZ Castor双子座有线耳机入耳式双单元哈曼曲线发烧HiFi耳返耳麦
格兰仕(Galanz)电烤箱 家用 40L大容量 上下独立控温 多层烤位 机械操控 烘培炉灯多功能 K42 经典黑 40L 黑色
漫步者(EDIFIER)M25 一体式电脑音响 家用桌面台式机笔记本音箱 蓝牙5.3 黑色 520情人节礼物
浩辰软件2025年新品线日重磅来袭!——国产工业软件迈向协同化、智能化、云化新时代