一个新的网络攻击活动正在利用与合法的红色团队工具关联的PowerShell脚本,从主要位于澳大利亚,波兰和比利时的受感染Windows系统中掠夺NTLMv2哈希。
该活动被Zscaler ThreatLabz代号为Steal-It。
“在这次活动中,威胁行为者使用Nishang的Start-CaptureServer PowerShell脚本的定制版本窃取和泄露NTLMv2哈希,执行各种系统命令,并通过Mockbin API泄露检索到的数据,”安全研究人员Niraj Shivtarkar和Avinash Kumar说。
Nishang 是一个 PowerShell 脚本和有效负载的框架和集合,用于攻击性安全、渗透测试和红队。
这些攻击利用了多达五个不同的感染链,尽管它们都利用包含ZIP存档的网络钓鱼电子邮件作为起点,使用地理围栏技术渗透特定目标 –
- NTLMv2哈希窃取感染链,它使用上述Start-CaptureServer PowerShell脚本的自定义版本来收集NTLMv2哈希
- 系统信息窃取感染链,OnlyFans 引诱针对澳大利亚用户下载窃取系统信息的 CMD 文件
- Fansly whoami 感染链,它使用乌克兰和俄罗斯 Fansly 模型的显式图像来诱使波兰用户下载 CMD 文件,该文件会泄露 whoami 命令的结果
- Windows更新感染链,针对比利时用户使用虚假的Windows更新脚本,旨在运行任务列表和系统信息等命令
值得注意的是,乌克兰计算机应急响应小组 (CERT-UA) 于 2023 年 8 月强调了最后一个攻击序列,作为针对该国政府机构的 APT<> 活动的一部分。
这增加了一种可能性,即Steal-It活动也可能是俄罗斯国家支持的威胁行为者的工作。
“威胁行为者的自定义PowerShell脚本和在ZIP档案中战略性地使用LNK文件突出了他们的技术专长,”研究人员说。“通过将文件从”下载到启动“文件夹并重命名它们来保持持久性,这突显了威胁参与者对长期访问的奉献精神。”
-=||=-收藏赞 (0)