Palo Alto Networks(派拓網(wǎng)絡(luò))威脅情報(bào)團(tuán)隊(duì)Unit 42的研究人員最近公布了Hangover威脅組織(又名Neon、Viceroy Tiger、MONSOON)的活動(dòng)情況。該組織在南亞地區(qū)針對(duì)政府和軍事組織進(jìn)行BackConfig惡意軟件攻擊。因此，我們?yōu)镠angover組織的活動(dòng)制作了這份威脅評(píng)估報(bào)告，相關(guān)技術(shù)和攻擊活動(dòng)可通過(guò)訪問(wèn)Unit 42 Playbook Viewer進(jìn)一步了解。

Hangover組織是一個(gè)網(wǎng)絡(luò)間諜組織，2013年12月首次被發(fā)現(xiàn)針對(duì)挪威一家電信公司進(jìn)行網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)安全公司Norman報(bào)道稱(chēng)，網(wǎng)絡(luò)攻擊是在印度出現(xiàn)的，該組織尋找并對(duì)巴基斯坦和中國(guó)等國(guó)家利益目標(biāo)進(jìn)行攻擊。不過(guò)，也有跡象表明美國(guó)和歐洲同樣存在Hangover組織的活動(dòng)，主要針對(duì)政府、軍方和民間組織。Hangover組織最初的入侵載體是進(jìn)行魚(yú)叉式釣魚(yú)攻擊活動(dòng)，利用來(lái)自南亞本地和熱點(diǎn)新聞?wù)T使受害者更容易落入他們的社會(huì)工程技術(shù)陷阱，下載并執(zhí)行帶有攻擊性的微軟Office文檔。當(dāng)用戶執(zhí)行這種攻擊性文檔后，BackConfig和攻擊者之間就建立了后門(mén)通信，開(kāi)始進(jìn)行間諜活動(dòng)，有可能從被入侵的系統(tǒng)中泄露敏感數(shù)據(jù)。

整合WildFire、DNS Security以及Cortex XDR產(chǎn)品的Palo Alto Networks(派拓網(wǎng)絡(luò))威脅防御平臺(tái)可以檢測(cè)到與該威脅組織相關(guān)的活動(dòng)。Palo Alto Networks(派拓網(wǎng)絡(luò))客戶還可以使用AutoFocus以及Hangover、BackConfig標(biāo)簽查看與此威脅評(píng)估相關(guān)的活動(dòng)。

結(jié)論

根據(jù)Unit 42的研究發(fā)現(xiàn)，Hangover組織很活躍，正在針對(duì)南亞地區(qū)的政府和軍事組織發(fā)起攻擊。該組織繼續(xù)使用被入侵的第三方基礎(chǔ)設(shè)施，通過(guò)包含網(wǎng)絡(luò)釣魚(yú)鏈接的魚(yú)叉式攻擊郵件，為傳送攻擊性文檔提供支持。

隨著時(shí)間的推移，傳送的文檔也在不斷發(fā)展演變，已從純文本代碼和URL轉(zhuǎn)為編碼格式。 從在文檔中存儲(chǔ)已編碼的可執(zhí)行文件到使用ZIP文件(包括打包文件)，到最后從命令和控制服務(wù)器下載可執(zhí)行文件。

安裝傳送文檔中的BackConfig惡意軟件是通過(guò)多階段和多組件執(zhí)行的，這很可能會(huì)逃避沙箱或其他自動(dòng)分析和檢測(cè)系統(tǒng)的監(jiān)測(cè)。 包括使用基于虛擬化的安全(VBS)和批處理代碼，計(jì)劃的任務(wù)以及條件觸發(fā)文件等等。

一旦完全安裝，BackConfig惡意軟件就會(huì)使用HTTPS與網(wǎng)絡(luò)犯罪分子進(jìn)行通信，這會(huì)很難發(fā)現(xiàn)并檢測(cè)到，且會(huì)混合在其他類(lèi)似流量中。

一旦受感染的系統(tǒng)處于犯罪分子控制之下，其目標(biāo)就會(huì)因部署的插件、被入侵的系統(tǒng)或組織的類(lèi)型而發(fā)生變化。