黑客攻击并劫持了希腊的顶级域名注册商后,竟搜索安全厂商网站?

阅读量588761

发布时间 : 2019-07-11 10:30:01

 

此前疑似来自伊朗的黑客组织开展了一系列DNS劫持活动,目前被命名为海龟活动,具体如下图所示。

而本次,和以往不同,直接和一个国家的顶级域名杠上了。

海龟活动的背后攻击团伙这一次攻击了希腊的ICS-Forth,这是一个管理希腊顶级域名国家代码.gr和.el的组织。

ICS-Forth代表研究和技术基金会计算机科学研究所,于4月19日公开承认其被攻击,并且发送电子邮件给所有域名拥有者的报告发生的安全事件。

希腊语看不懂,只能谷歌翻译了。。看得懂的可以看下面这个图

在说这起攻击前,先说说这起攻击的背后的黑客组织所使用的攻击模式。

通常他们会使用一种相对新颖的方法来攻击目标。

他们不会直接定位受害者,而是会破坏或访问域名注册商和托管DNS提供商的帐户,从而会修改公司的DNS设置。

通过修改内部服务器的DNS记录,他们将用于公司合法应用程序或Webmail服务的流量重定向到克隆服务器,在那里他们执行中间人攻击并拦截登录凭据。

攻击是短暂的,持续数小时到数天,由于大多数公司不关注对DNS设置所做的更改,因此难以察觉。

(据我所知。。这个手法以前XX干过)

目前FireEye将这些攻击归咎于伊朗政府。

对于大多数攻击,海龟小组通常会破坏域名注册商和托管DNS提供商的帐户,他们拥有目标的账户并用于管理各种服务器和服务的DNS条目。

然而,海龟并没有回避攻击整个服务提供商以获得它想要的东西: 即修改目标公司的服务器DNS设置。

思科Talos团队在其第一份报告中表示,Sea Turtle团队攻击了NetNod,这是一个位于瑞典的互联网交换节点,除此之外,它还为ccTLD组织提供DNS服务 – 比如 ICS-Forth。

Cisco Talos研究人员表示,使用此访问权限,攻击者能够操纵sa1.dnsnode.net的DNS记录。此重定向允许攻击者获取使用沙特阿拉伯TLD(.sa)管理域名的管理员凭据。

现在,在今天发布的一份新报告中,Talos研究人员表示,海龟黑客这次针对ICS-Forth的攻击并没有采取类似的攻击模式。

下图中最后一句话很有趣,这个特殊的C2节点搜索了blog.talosintelligence.com和ncsc.gov.uk,大概是为了查看Talos之前关于DNS劫持的报告和来自英国国家网络安全中心的DNS劫持资讯。

这一次,Talos团队没有任何关于黑客在获得其系统访问权后在ICS-Forth网络上所做的事情的细节。

目前,黑客改变DNS设置的域名仍然是一个谜,但Talos表示,在ICS-Forth公开披露此事件后,黑客还维持了另外五天的访问权限。

然而,对ICS-Forth的攻击并不是海龟唯一的新行动。自他们上次报告海龟以来,Talos说他们还在苏丹,瑞士和美国等国家发现了新的受害者。

这些目标,其DNS设置被修改,以便黑客可以拦截用户凭据,而受害目标大多为政府组织,能源公司,智库,国际非政府组织,以及至少一个机场。

参考链接和原报告,IOC也在其中:

https://blog.talosintelligence.com/2019/07/sea-turtle-keeps-on-swimming.html

https://www.zdnet.com/article/hackers-breached-greeces-top-level-domain-registrar/

 

分享到:微信
+12赞
收藏
黑鸟
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66