LUCKY ELEPHANT针对南亚政府

TRex 新闻 2019年3月29日发布
Favorite收藏

导语:NETSCOUT威胁情报团队发现了一个名为LUCKY ELEPHANT的凭据收集活动,目标主要是南亚政府。

NETSCOUT威胁情报团队的安全专家发现了一项凭据收集活动LUCKY ELEPHANT,主要针对南亚政府。

该活动于2019年3月初被发现,LUCKY ELEPHANT背后的威胁行为者使用doppelganger 网页来模仿外国政府,电信和军队等合法机构。

lucky-elephant-campaign.png

这些攻击至少从2019年2月开始,黑客试图欺骗受害者提供登录凭据。攻击者使用各种顶级域名(TLD)注册了doppelgangers,特别是那些保护注册人匿名的域名。

根据专家的说法,威胁行为者开展了网络钓鱼行动,吸引受害者访问网站并提供凭据。在撰写本文时,研究人员未发现任何与LUCKY ELEPHANT活动相关的恶意软件。

被黑客模仿的机构名单包括巴基斯坦,孟加拉,斯里兰卡,马尔代夫,缅甸和尼泊尔的实体。

根据ASERT的分析,LUCKY ELEPHANT由印度APT小组发起。

这些目标是已知的印度APT行动的典型目标,而基础设施以前是由印度APT组织使用的。网络钓鱼和证件盗窃活动在印度针对区域内比较常见。

其中一个IP地址,128.127.105 [.] 13,之前被DoNot Team(又名APT-C-35)使用,这是一个印度APT组织。除了其他邻国外,DoNot团队还有大量针对巴基斯坦的历史行动。

专家们发现了两个活动的IP地址(128.127.105 [.] 13和179.43.169 [.] 20)参与了攻击,通过监测,研究人员发现了威胁行为者使用的新的doppelganger域名。

专家发表的主要调查结果如下:

· ASERT发现了LUCKY ELEPHANT的凭据盗窃活动,攻击者伪装成合法实体,如外国政府,电信和军队。

· doppelganger网页的主要目的是收集登录凭据;我们没有观察到与攻击活动相关的恶意软件有效载荷。

· LUCKY ELEPHANT活动中使用的一个IP地址以前被印度APT DoNot团队使用。

ASERT总结道,

LUCKY ELEPHANT背后的攻击者使用与合法网站几乎相同的分身网页的有效性,诱使用户输入凭据。目前还不清楚这个攻击行动在收集凭据时的效果和广泛程度,以及如何使用收集到的凭据。

然而,显而易见的是,攻击者正在积极建立基础设施,并且正在针对南亚的政府。

本文翻译自:https://securityaffairs.co/wordpress/82963/hacking/lucky-elephant-campaign.html如若转载,请注明原文地址: https://www.4hou.com/info/news/17065.html
点赞 2
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论