Fox Kitten Campaign (2020.02)
Widespread Iranian Espionage-Offensive Campaignサマリー (02/16)
https://www.clearskysec.com/fox-kitten/
フルレポート
https://www.clearskysec.com/wp-content/uploads/2020/02/ClearSky-Fox-Kitten-Campaign.pdf
Iranian hackers have been hacking VPN servers to plant backdoors in companies around the world (02/16)
https://www.zdnet.com/article/iranian-hackers-have-been-hacking-vpn-servers-to-plant-backdoors-in-companies-around-the-world/Pulse Secure、Palo Alto Networks、Fortinet、Citrixの企業VPNサーバ等へのハックについて。。。。だそうです。
イラン政府支援ハッキングユニットは「IT、通信、石油およびガス、航空、政府、およびセキュリティの各セクターの企業」を標的に。実力はロシア、中国、北朝鮮などと並びうる。
本APTグルーブは1-day vulnerabilityの悪用能力や、カスタマイズドマルウェア開発能力がある。2019年、Pulse Secure「Connect」VPN(CVE-2019-11510)、Fortinet FortiOS VPN(CVE-2018-13379)、およびPalo Alto Networksの「Global Protect」で開示された脆弱性を迅速に武器化した。後にCitrix "ADC" VPNで公開された脆弱性であるCVE-2019-19781も。
Iranian Hackers Exploiting VPN Flaws to Backdoor Organizations Worldwide (02/18)
https://thehackernews.com/2020/02/iranian-hackers-vpn-vulnerabilities.html最初の足場を獲得すると、C2サーバーと通信して、バックドアを植えるために使用できる一連のカスタムVBScriptファイルをダウンロードするThe Hacker News はCVEへのリンクなど、使いやすい印象。
さらに、ウイルス対策ソフトウェアによる検出を回避するために、バックドアコード自体をチャンクでダウンロードする。これらの個々のファイルをつなぎ合わせて実行可能ファイルを作成するのは、「combine.bat」。
これらのタスクを実行して持続性を実現するために、Juicy PotatoやInvoke the Hashなどのツールを悪用して、高レベルの特権を獲得し、ネットワークを横切って移動する。
攻撃者が開発した他のツールには次のものがある。
・STSRCheck-ターゲットネットワークのデータベース、サーバー、および開いているポートをマッピングし、デフォルトの資格情報でログ記録することでブルートフォースするツール。
・Port.exe-定義済みのポートとサーバーをスキャンするツール。
攻撃者がlateral movement能力を獲得すると、攻撃者は最終段階に移動します:関連情報について、侵害されたシステムをスキャンし、(POWSSHNETと呼ばれる自己開発ツールを使用して)リモートデスクトップ接続を確立して、またはハードコードされたIPアドレスへのソケットベースの接続を開いて、ファイルを盗み出します。
http-methods
https://nmap.org/nsedoc/nmapのスクリプトでのhttp-methodsの検出について
enum4linux Package Description
https://tools.kali.org/Windows やSambaの概況調査ツール。
以前は www.bindview.comで enum.exeで同様の事が出来たのだそうだ。
enum4linuxの続き。Perlとのこと。
Kali Linux 1.0.4リリースとenum4linux
https://ozuma.hatenablog.jp/enum4linuxの続き。Perlとのこと。
No comments:
Post a Comment