赛门铁克和科莫多等反病毒公司和联合国儿童基金会疑似被入侵并售卖访问权限

释放双眼,带上耳机,听听看~!

犹记前些日子发过一篇名为FXMSP黑客组织入侵了三家美国网络安全公司的文章。

黑客入侵三家美国网络安全公司并以30万美元出售源代码和访问权限

在事后调查后发现,实际上这三家美国网络安全公司分别为赛门铁克,迈克菲,趋势科技

感兴趣想看和攻击者聊天记录的可以看下面这篇文章

https://www.bleepingcomputer.com/news/security/fxmsp-chat-logs-reveal-the-hacked-antivirus-vendors-avs-respond/

FXMSP被认为是一群讲俄语的黑客,但新卖家会说英语,可能是伊朗人。

而这一次,在地下黑客论坛上观察到的名为Achilles的攻击者售卖网络访问权限的事件,其声称已经入侵了联合国儿童基金会和网络安全公司赛门铁克和科莫多(Comodo)等知名组织的基础设施。

黑客使用在线名称Achilles,并根据目标的价值出售价格适中的方式,价格在2,000美元到5,000美元之间。他们的活动在过去七个月中有所增加,特别是在2019年秋季和2019年春季。

背景:“Achilles”是一位讲英语的威胁演员,主要在各种英语地下黑客论坛以及安全信使上运作。 Achilles专注于获取对高价值企业内部网络的访问。

纵向:阿基里斯受害者主要是私营部门实体;然而,该演员还针对公共领域,政府附属公司和国际组织。有针对性的垂直行业包括国防,能源,旅游,金融,房地产和信息技术。

战术,技术和程序(TTP):通常阿基里斯利用生活在陆地(LotL)的策略:演员更喜欢避免使用外部恶意软件包。相反,他们要么妥协远程桌面协议(RDP),要么利用窃取的凭据来建立对受害者网络的稳定和安全的外部虚拟专用网络(VPN)访问。演员通常通过密码强制攻击目标公司外部门户和远程服务获得初始立足点。然后,演员通常尝试通过Active Directory(AD)访问和提升权限并搜索网络环境。然后,Achilles经常在地下犯罪中销售RDP和VPN访问网络。

归因:Achilles很可能在一个现已解散的顶级英语darkweb论坛“KickAss”中使用别名“the.Joker”进行操作,因为他们使用两个别名提出了相同的报价。该演员可能与伊朗的网络犯罪域有关联;但是,这种关联可能只有次要证据支持。

值得注意的活动:2019年5月4日,阿基里斯声称可以访问联合国儿童基金会的网络以及几个备受瞩目的企业实体的网络。他们能够提供证据证明他们在联合国儿童基金会网络和两家私营公司中的存在。值得注意的是,他们以5,000美元到2,000美元的相对较低的价格范围提供对网络的访问。

负责任的披露:截至撰写本文时,美国执法部门已收到有关违规行为的通知,其中一个实体已通过其网络威胁情报小组和AdvIntel的集体努力得到完全保障,而第二个实体已被告知此威胁。

其中一例售卖活动

大多数阿基里斯报价都与通过外部VPN和受损RDP侵入跨国公司网络有关。 目标包括私营公司和政府组织,主要是英联邦。 在过去的七个月里,阿基里斯在论坛上一直特别活跃,2018年秋季和2019年春季的活动激增。

在2018年秋季,该演员试图出售多个受损的访问; 它们包括以下实体:

英国政府域名DNS服务器访问

澳大利亚首都直辖区政府全员数据库

Austal防御造船厂内部数据

未指明的公司:RDP和网络访问

以下公司员工的信息和证书:

GoDaddy

DHL

Citrix

BBC

Facebook

该组织的攻击流程

黑客建立了良好的声誉

防欺诈公司Advanced Intelligence(AdvIntel)的一份报告指出,Achilles在他们宣传的论坛上享有良好的声誉和积极评价,并且有销售记录。为了提高可信度,黑客坚持通过论坛的托管服务完成某些交易的付款。

在与潜在买家的对话中,阿基里斯表示他们可以进入属于赛门铁克,网络安全公司Comodo,3D软件制造商Hash Inc以及儿童权利保护倡导者联合国儿童基金会的内部网络。

黑客在私人消息中声明,通过远程桌面连接可以实现赛门铁克的内部基础架构。Hash Inc.公布了同类型的非法入侵事件。

comodo反病毒软件公司的权限和数据

根据AdvIntel的说法,黑客还试图进入加拿大度假旅游公司Transat的公司网络。他们声称已于5月12日或5月13日破坏了他们的网络。


不过,对于联合国儿童基金会来说,黑客表示他们可以直接访问网络并提出以4,000美元的价格出售。

对于这笔钱,买家还可以窥探并下载大量数据 – 大约3.6TB。

该声明得到黑客的截图支持,并由AdvIntel获得,这表明Achilles可以访问据称属于联合国儿童基金会的文件。

文件夹包括与儿童基金会各委员会的活动,会议,政策和国别政策指导有关的信息。

在其中一张图片中,黑客似乎可以访问两个网络位置,其中一个是4TB驱动器,只有388GB的可用空间。

由于这帮黑客在底下论坛声誉很好,因此真假可以自己判定一下。

参考链接:

https://www.advanced-intel.com/blog/achilles-hacker-behind-attacks-on-military-shipbuilders-unicef-international-corporations

https://www.bleepingcomputer.com/news/security/another-hacker-selling-access-to-charity-antivirus-firm-networks/

感谢关注转发点赞

转载请注明来源,谢谢


<上期看点>

邮件传输代理Exim远程命令执行漏洞细节披露,影响全球近一半邮件服务器

文本编辑器Vim/Neovim被曝任意代码执行漏洞,Notepad:兄弟等你好久了

黑鸟威胁情报中心,只做最正确的情报,不传谣不信谣,欢迎扫码持续关注。

点击菜单栏,扫码加入每日更新的知识星球原价299,现价269

各位端午节安康

本文源自微信公众号:黑鸟

人已赞赏
安全工具

APT组织MuddyWater针对中东航空业发起的最新攻击

2019-10-16 10:49:47

安全工具

#Op Jerusalem(耶路撒冷活动)之奇妙过程记载: 我裤子都脱了你给我看这个?

2019-10-16 10:49:53

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索