保贝狗是一款个人信息保护软件
欢迎体验、使用~

分析围绕中东冲突的网络活动

介绍

鉴于中东局势持续升级,IB 集团威胁情报该部队一直在监测参与网络空间冲突的不同威胁行为者的活动。

正如在2022/2023 年高科技犯罪趋势报告指出,任何政治紧张局势的加剧或敌对行动的爆发几乎总是伴随着黑客活动的增加,当前冲突的升级也不例外。

Group-IB 研究人员一直密切关注在持续的军事行动背景下数字空间发生的重大发展,并定期提供有关黑客行动和其他值得注意的网络威胁的最新信息。Threat Intelligence X(以前称为 Twitter)帐户。他们所有与冲突相关的发现都附有标签#CTI_ISRPAL 

现在,敌对行动升级一周后,Group-IB 能够提供迄今为止主要威胁趋势的概述,以及组织为保护自己免受潜在攻击而可以采取的步骤的建议。

第一周总结(2023 年 10 月 7 日至 15 日)

  • Telegram 频道已成为黑客活动自我协调的主要平台
  • Group-IB 研究人员发现了 10 月 7 日至 15 日期间发生的超过740 起DDoS 和网站篡改攻击,这些攻击得到了中等可信度的确认
  • 主要目标包括政府网站银行和金融部门、电信公司、IT 公司、媒体机构和零售组织
  • 一些黑客活动分子试图通过发布过去攻击的数据并将其伪装成最近的攻击来引起炒作,以吸引注意力
  • 高级持续威胁行为者和勒索软件组织尚未公开露面,但这很可能只是时间问题

黑客活动分子通过 DDoS、篡改攻击引起关注

随着 10 月 7 日冲突爆发,黑客活动分子成为最先采取行动的人之一。其中许多团体通常包含技术专业知识有限的个人网络犯罪分子,他们在各种平台(包括 Telegram、IRC、论坛、Discord 和 Twitter)上协调他们的攻击,以及他们能够发起的攻击量以及他们的规模。社区,显着扩大其影响。

总体而言,黑客活动分子发起两种特定类型的攻击:网站篡改分布式拒绝服务 (DDoS) 攻击

网站篡改攻击是一种网络攻击,其中威胁行为者或攻击者团体未经授权访问网站,导致其视觉美观、内容或功能发生改变。这种非法修改偏离了网站的预期呈现方式,导致显示错误信息、不适当的内容或带有政治或社会色彩的消息。有两种主要的攻击媒介可以促进这种入侵:未经授权访问内容管理系统 (CMS )或网络服务器。

在基于 CMS 的攻击中,威胁行为者通常会利用泄露的凭据或漏洞来获取凭据。这使得威胁行为者能够控制受受感染的 CMS 管理的特定网站,从而允许他们操纵内容。此外,CMS 访问可能成为渗透 Web 服务器的起点,通常是通过受感染的 CMS 上传 Web shell。

攻击者不仅可以修改网站内容,还可以引入恶意代码,例如 JS 嗅探器。这些代码旨在收集用户输入到在线表单中的数据,收集凭证、财务信息和其他敏感数据。

这些攻击的影响不仅限于内容篡改。在 Web 服务器与内部服务器共享管理监督或连接的情况下,攻击可能会升级。共享凭证或互连系统可能被利用,为更广泛的网络攻击铺平道路。

此外,地下市场的流行简化了潜在攻击者(尤其是黑客活动分子)的攻击过程。这些非法市场提供预先受损的 CMS 访问或 Web shell,从而消除了攻击者自行破坏系统的需要。要了解如何防范篡改攻击,请访问本文章末尾建议部分。

什么是分布式拒绝服务 (DDoS) 攻击?

分布式拒绝服务 (DDoS) 攻击是一种恶意尝试,通过大量互联网流量淹没网络服务、服务器、网站或在线资源,从而破坏网络服务、服务器、网站或在线资源的正常运行。DDoS 攻击的主要目标是使其目标用户暂时或完全无法使用目标服务或网站。

以下是 DDoS 攻击的典型运作方式:

  • 分布:与使用单个计算机或网络淹没目标的常规 DoS(拒绝服务)攻击不同,DDoS 攻击涉及多个来源。这些来源可以是受感染计算机的网络(通常称为僵尸网络),通常由攻击者远程控制。僵尸网络的使用使得很难将攻击追溯到单一来源。
  • 流量过载:攻击者精心策划受感染设备网络,向目标发送大量流量请求。流量的激增使目标的网络或服务器资源饱和,使其无法响应合法的用户请求。
  • 服务中断:传入流量的巨大量可能会导致目标网络速度显着减慢,或者在极端情况下甚至崩溃,从而使用户无法使用网站或在线服务。这可能会产生严重后果,特别是对于依赖在线存在的企业和组织而言。

DDoS 攻击有多种形式,例如 UDP 洪水、SYN/ACK 洪水和 HTTP 洪水,每种攻击都针对网络基础设施的不同方面。DDoS 攻击背后的动机各不相同,包括经济勒索、意识形态或政治原因、报复,甚至是简单的恶作剧。

要了解如何保护您的系统免受 DDoS 攻击,请参阅本文章的建议部分。

为此,第一步是识别目标中的潜在漏洞,这些目标通常包括主要政府、媒体和金融组织。他们编译与目标国家/地区相关的所有自治系统编号 (ASN),并扫描每个 IP 地址,目的是发现任何可能的资产 – 无论是数据库、特定漏洞还是任何其他可利用的元素。Group-IB 的威胁情报研究人员在他们最近的博客中更详细地描述了这种作案手法孟加拉国神秘队

尽管通过Telegram协调网络攻击并不是什么新鲜事,但在持续的冲突期间,该平台的使用有所增加,因为它为黑客活动分子提供了匿名性和快速通信。除此之外,黑客活动分子呼吁盟友发起攻击变得更加容易。他们在那里识别目标和支持他们的其他黑客,也加入攻击并寻找受害者系统中的漏洞。

在分析了多个黑客活动分子的 Telegram 频道后,Group-IB 的威胁情报部门能够以中等信心确认该组织在 10 月 7 日至 15 日期间完成了超过 740 起 DDoS 和网站篡改攻击。这项研究是由真实的time Telegram 监控功能Group-IB 的威胁情报平台。

在大多数情况下,黑客活动分子会在 Telegram 频道中分享他们的成功经验,并提供用于检查网站可用性(例如Check-host)或设备站点档案(例如Zone-HMirror-h)的在线工具的链接。有了这些信息,就可以有一定把握地评估,在他们发布此信息时,主机的可用性已被中断。

按注册日期、类型列出的黑客活动攻击

图 1. 2023 年 10 月 7 日至 15 日期间注册的黑客活动攻击(按日期、类型划分)。

上图 1 中的数据表明,黑客活动分子实施的破坏(405)比 DDoS 攻击(343)略多。此外,黑客活动在10 月 9 日达到顶峰,当时登记了208 起攻击。

监控这些网络犯罪分子及其发布的信息至关重要,例如特定目标列表或直接 IP 地址(而不是简单域),这可能会放大 DDoS 攻击的损害,并为更复杂和更全面的攻击奠定基础。

这场冲突期间黑客活动的其他主要趋势包括对政府网站和 IT 公司的攻击有所增加。其他主要目标包括银行和金融部门、电信公司、媒体机构和零售组织

验证的重要性

在政治和军事升级时期,虚假信息和相互矛盾的叙述经常在网上传播。确定黑客攻击的成功率可能具有挑战性,因为声明可能并不总是反映现实。它通常需要彻底的监控和攻击后分析。

Group-IB 的威胁情报分析师上周驳斥了此类说法。10 月 8 日,名为Cyber​​ Av3ngers的黑客组织的 Telegram 频道中出现了一些帖子。在这些消息中,成员声称已成功渗透并从Dorad 发电厂的系统中提取文件(图 2)。

来自 Cyber​​ Av3ngers Telegram 群组的屏幕截图

图 2. Cyber​​ Av3ngers Telegram 群组于 2023 年 10 月 8 日发布的屏幕截图。

Group-IB 专家对 Cyber​​ Av3ngers 发布的信息进行了彻底分析,发现声称在最近的一次攻击中被盗的材料实际上与勒索软件组织 Moses Staff 在 2022 年窃取并上传到的数据相同。他们的网站(图 3)。

摩西员工网站存档页面的屏幕截图

图 3. Moses Staff 网站上的存档页面的屏幕截图,其中包含 Dorad 发电厂渗透的数据。

Group-IB 研究人员指出,Moses Staff 网站上不再提供 Dorad 数据,但在几个 Telegram 群组中发现了这些文件的副本。

2022 年 6 月 Telegram 帖子的屏幕截图,其中包含多拉德发电厂攻击的数据

图 4. 2022 年 6 月 Telegram 帖子的屏幕截图,其中包含 Moses Staff 发起的 Dorad 发电厂攻击的数据。

这个案例研究有力地提醒我们,在持续的冲突中需要对假货保持警惕。一定要遵守Group-IB 的威胁情报 X(以前称为 Twitter)源了解与这场冲突相关的网络威胁以及更广泛的全球威胁格局的最新信息。

黑客活动分子通常与进行小规模 DDoS 攻击和破坏有关。然而,正如持续不断的冲突所表明的那样,他们的行动可能更具破坏性且代价更高。作为全面威胁情报计划的一部分,必须绘制并适当降低黑客行动主义的风险。

建议

DDoS 攻击:

  • 检查您是否有反 DDoS 保护并确保立即启用。
  • 多元化提供商:使用多个 ISP 或云提供商来确保冗余。如果有人受到攻击,你可以求助于其他人。
  • 上游过滤:一些 ISP 提供流量过滤功能,在恶意流量到达您的网络之前将其阻止。
  • 扩展资源:准备好自动扩展资源以应对流量高峰。如果您使用提供自动缩放的云服务,这会更容易。
  • 速率限制:设置用户在特定时间范围内可以发送的请求数量的阈值
  • 如果您面临针对 Web 应用程序的 L7 DDoS 攻击,并且当前提供商存在问题,请检查您的组织是否机器人保护就位
  • 实施地理围栏,以在面临攻击时阻止关键应用程序的非区域相关 IP 访问。
  • 使用黑名单和白名单
  • 保存DDoS攻击期间的日志:有关攻击的技术信息经过深入分析后可以显着提高您的检测和防御能力。此外,它还为进一步研究提供了宝贵的见解。

污损:

  • 定期备份:在现场和异地存储备份,以确保您可以在网站遭到破坏后快速恢复。
  • 确保您的内容管理系统 (CMS) 无法通过互联网访问,并且定期更新到最新版本。更新所有插件、主题和扩展。过时的插件可能是攻击的常见媒介。
  • 定期更新Web 服务器后端软件,以防止常见 CVE 被利用。
  • Web 应用程序防火墙 (WAF):配置 WAF 来检查传入流量、阻止恶意请求和利用漏洞的尝试。
  • 开始搜索面向公众的影子 IT 资产,以发现可被威胁行为者利用的潜在漏洞。我们推荐的解决方案例如攻击面管理。
  • 通过禁用未使用的不必要的服务并且不要使用默认 URL进行登录或管理面板来限制您的暴露。
  • 地下市场的出现简化了潜在入侵者(包括黑客活动分子)的攻击过程。这些非法市场提供预先受损的 CMS 访问权限或 Web shell,从而使攻击者无需自行破坏这些系统。使用威胁情报平台获取有关可能出售的任何未经授权的访问的信息。它可以先发制人潜在的威胁活动,在其他恶意行为者购买和利用此访问权限之前消除风险。
  • 在攻击的活跃阶段实施地理围栏。

数据泄露:

  • 加强密码政策。确保定期更新密码,并且不会重复使用旧的或相同的密码。我们不仅应该建立强大的密码策略,还应该定期更新它们,以领先于不断变化的威胁和安全最佳实践。员工培训和这些政策的执行对于确保合规性和数据安全同样重要。
网络安全隐私保护
-=||=-收藏赞 (0)
保贝狗是一款个人信息保护产品。 » 分析围绕中东冲突的网络活动

保贝狗

保贝狗是一款免费的个人信息保护产品
大家都在用的隐私保护软件
保贝狗专注于个人信息保护的研究
实用、简单、方便、快捷

QQ联系我们微信联系我们

登录

找回密码

注册