网络安全企业 Trend Micro 公司最新发布报告指出,其研究人员在调查一台可能与中东数据泄露事故相关的服务器时,遭到与伊朗政府有所关联的 MuddyWaters 黑客组织威胁——“将杀害发现其网络间谍活动的安全研究人员”。

伊朗 MuddyWaters 黑客组织

这台可能与中东数据泄露事故相关的服务器由“MuddyWaters”黑客组织所使用,随后被证明正是这拨攻击者所使用的命令与控制(简称C&C)基础设施。研究结果显示,该基础设施已被用于对多个中东及中亚政府机构发动攻击活动。

研究人员们在工作时,收到这条信息:

Trend Micro 公司发布的一篇博文指出:

“就目前来看,攻击者正在积极监控该  C&C 服务器的接入连接。研究人员尝试对该C&C服务器发送了非正常请求,而对方回复了以下消息:‘Stop!!! I Kill  You Researcher.’这条极具针对性的信息,代表着攻击者正在监控往来于其C&C服务器的各类数据。”

钓鱼软件暴露身份

Trend  Micro 公司是通过有针对性地调查网络钓鱼邮件发现该攻击服务器的,相关网络钓鱼电子邮件当中包含“塔吉克斯坦共和国内政部等政府机构”字样,电子邮件在文档当中隐藏有独特的恶意软件。专家们指出,MuddyWaters  属于先进持续威胁(简称APT)组织,可能与伊朗政府存在紧密的利益关联。过去,该组织一直以伊朗邻国的各政治/民间社会组织以及大型电信企业作为主要攻击目标。

MuddyWaters   黑客组织自2015年以来一直保持活跃,其曾经先后试图破坏位于格鲁吉亚、印度、伊拉克、以色列、巴基斯坦、沙特阿拉伯、土耳其、阿拉伯联合酋长国以及美国的目标。根据  Trend Micro 方面的发现,其最新活动开始主要集中在土耳其、巴基斯坦以及塔吉克斯坦等国的目标身上。

混淆归因

MuddyWaters 黑客组织的独特之处,在于其会利用所谓“假旗(false flag)”技术来混淆自身的攻击长度。此类误导性标记包括编写包含借用计算机代码片段的恶意软件工具,其中部分代码与中国的黑客相关。在另一个已知案例当中,MuddyWaters 还设计出与合法俄罗斯网络安全厂商卡巴斯基实验室(美国政府怀疑该公司与俄罗斯情报界有所关联)相关的钓鱼邮件。

《华盛顿邮报》近期发布的报道指出,俄罗斯 APT 同样利用“假旗”技术营造出朝鲜入侵2017年平昌冬奥会的迹象。专家们指出,这类策略可能使得研究人员更难将事件归因于特定实体或国家。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。