NGC2180:黑客使用沙特阿拉伯的服务器攻击俄罗斯政府机构

阅读量55281

发布时间 : 2024-03-08 10:39:24

攻击者使用高度伪装的自制间谍软件。

Solar 集团旗下 Solar 4RAYS 研究中心的专家 在俄罗斯一行政机构的系统中发现了 国际黑客活动的痕迹。攻击者使用独特的、精心隐藏的软件进行间谍活动,通过劫持的世界各地各个组织的服务器进行管理。该黑客组织已经活跃了至少三年,但专家们尚未能够准确确定其来源,因此它被临时命名为NGC2180。已识别的恶意软件现已被消灭,受影响的系统也已恢复。

2023 年底,在对俄罗斯一个关键部门的基础设施进行审计时,Solar 4RAYS 分析师发现其中一台工作计算机存在未经授权访问的迹象。随后的一项更详细的研究揭示了该部门网络上存在多个名为 DFKRAT 的多层恶意软件实例。在攻击过程中,该软件部署了一个“植入程序”,为黑客提供了充足的机会来控制系统,包括窃取数据和下载新的恶意软件。该恶意软件的发现版本此前并未在开源中被发现,但我们能够从 2021 年开始追踪其演变。随着每次更新,恶意软件变得更加复杂,包括使用 DLL 旁加载技术以及拒绝从命令和控制服务器顺序发送命令。

“我们能够找到并分析命令和控制服务器代码的片段。该文件已从沙特阿拉伯 IP 地址上传到名为 config.jsp 的公共服务。对网络基础设施的分析表明,这可能是一个中间受害者,其服务器被入侵以托管控制中心(C2)。在当前版本的植入程序中,希腊国家科学研究中心“德谟克利特”纳米科学和纳米技术研究所的服务器被黑客入侵的组件被用来协调其工作。”该公司表示。

恶意软件专家德米特里·马里切夫 (Dmitry Marichev) 指出,观察到的恶意架构的发展和改进动态表明,一个组织良好、资源充足的组织参与了攻击,可能还得到了政府的支持。专家向信息安全界发出来自 NGC2180 的新攻击的可能性的警告,并敦促密切监视其研究中发现的危害指标。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+15赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66