Pawn Storm:2004 年出道的黑客老炮仍然活跃

阅读量37378

发布时间 : 2024-02-02 10:34:15

趋势科技发现了该组织秘密攻击的新趋势。

趋势科技的一份 新报告 揭示了网络犯罪组织 Pawn Storm 的活动,该组织自 2004 年以来一直使用各种方法对全球重要组织进行黑客攻击。尽管方法看似过时,包括已有数十年历史的网络钓鱼活动,但 Pawn Storm 仍然成功破解了数千封电子邮件。

趋势科技表示,该组织最近转向使用Net-NTLMv2哈希进行攻击,试图渗透到世界各地的政府、国防和军事网络。该集团已在欧洲、北美和南美、亚洲、非洲和中东展示了其活动。黑客坚持更改受害者邮箱中的文件夹权限,使他们能够在网络中漫游。

自2019年以来,网络犯罪分子经常使用暴力方法来攻击邮件服务器和企业VPN服务。该组织还使用 VPN 服务、Tor网络、被黑的 EdgeOS 路由器等匿名方法以及URL缩短服务等免费服务。匿名化还扩展到通过 Tor 或 VPN 从受感染的电子邮件帐户发送的网络钓鱼电子邮件。

于 2023 年 3 月修复的 严重漏洞 CVE-2023-23397 (CVSS 评分:9.8) 允许 Pawn Storm 对 Outlook 用户进行中继攻击。利用该漏洞,该组织发送了特殊的日历邀请,从而引发了 Net-NTLMv2 攻击。该活动一直持续到 2023 年 8 月,使用 Mockbin 上托管的脚本和重定向到免费 Web 托管域上的 PHP 脚本的 URL 变得越来越复杂。

Pawn Storm还利用WinRAR漏洞 CVE-2023-38831 (CVSS评分:7.8)进行中继攻击。2023 年末,黑客利用“webhook[.]site”URL 和 VPN IP 地址针对欧洲政府开展了凭证盗窃网络钓鱼活动。除了 Pawn Storm 之外,其他几个 APT 组织 也利用该漏洞

2022 年 10 月,Pawn Storm 还使用了信息窃取程序,而无需连接到命令和控制 ( C2 ) 服务器。这种简单但有效的方法是将被盗文件上传到免费文件托管服务,使用缩短的 URL 进行访问。

2023 年 3 月,微软安全团队 发现了 Microsoft Outlook 中的一个严重漏洞。该漏洞的标识符为 CVE-2023-23397,允许攻击者窃取 Net-NTLMv2 哈希值并获取用户帐户的访问权限。特别危险的是充满了专门准备的电子邮件,打开后,用户的 Net-NTLMv2 哈希值将传输给攻击者。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66