Palo Alto Networks(派拓网络)威胁情报团队Unit 42的研究人员最近公布了Hangover威胁组织(又名Neon、Viceroy Tiger、MONSOON)的活动情况。该组织在南亚地区针对政府和军事组织进行BackConfig恶意软件攻击。因此,我们为Hangover组织的活动制作了这份威胁评估报告,相关技术和攻击活动可通过访问Unit 42 Playbook Viewer进一步了解。
Hangover组织是一个网络间谍组织,2013年12月首次被发现针对挪威一家电信公司进行网络攻击。网络安全公司Norman报道称,网络攻击是在印度出现的,该组织寻找并对巴基斯坦和中国等国家利益目标进行攻击。不过,也有迹象表明美国和欧洲同样存在Hangover组织的活动,主要针对政府、军方和民间组织。Hangover组织最初的入侵载体是进行鱼叉式钓鱼攻击活动,利用来自南亚本地和热点新闻诱使受害者更容易落入他们的社会工程技术陷阱,下载并执行带有攻击性的微软Office文档。当用户执行这种攻击性文档后,BackConfig和攻击者之间就建立了后门通信,开始进行间谍活动,有可能从被入侵的系统中泄露敏感数据。
整合WildFire、DNS Security以及Cortex XDR产品的Palo Alto Networks(派拓网络)威胁防御平台可以检测到与该威胁组织相关的活动。Palo Alto Networks(派拓网络)客户还可以使用AutoFocus以及Hangover、BackConfig标签查看与此威胁评估相关的活动。
结论
根据Unit 42的研究发现,Hangover组织很活跃,正在针对南亚地区的政府和军事组织发起攻击。该组织继续使用被入侵的第三方基础设施,通过包含网络钓鱼链接的鱼叉式攻击邮件,为传送攻击性文档提供支持。
随着时间的推移,传送的文档也在不断发展演变,已从纯文本代码和URL转为编码格式。 从在文档中存储已编码的可执行文件到使用ZIP文件(包括打包文件),到最后从命令和控制服务器下载可执行文件。
安装传送文档中的BackConfig恶意软件是通过多阶段和多组件执行的,这很可能会逃避沙箱或其他自动分析和检测系统的监测。 包括使用基于虚拟化的安全(VBS)和批处理代码,计划的任务以及条件触发文件等等。
一旦完全安装,BackConfig恶意软件就会使用HTTPS与网络犯罪分子进行通信,这会很难发现并检测到,且会混合在其他类似流量中。
一旦受感染的系统处于犯罪分子控制之下,其目标就会因部署的插件、被入侵的系统或组织的类型而发生变化。