作者：Palo Alto Networks（派拓網(wǎng)絡(luò)）威脅情報團隊Unit 42

Palo Alto Networks（派拓網(wǎng)絡(luò)）威脅情報團隊Unit 42的研究人員最近公布了Hangover威脅組織（又名Neon、Viceroy Tiger、MONSOON）的活動情況。該組織在南亞地區(qū)針對政府和軍事組織進行BackConfig惡意軟件攻擊。因此，我們?yōu)镠angover組織的活動制作了這份威脅評估報告，相關(guān)技術(shù)和攻擊活動可通過訪問Unit 42 Playbook Viewer進一步了解。

Hangover組織是一個網(wǎng)絡(luò)間諜組織，2013年12月首次被發(fā)現(xiàn)針對挪威一家電信公司進行網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)安全公司Norman報道稱，網(wǎng)絡(luò)攻擊是在印度出現(xiàn)的，該組織尋找并對巴基斯坦和中國等國家利益目標進行攻擊。不過，也有跡象表明美國和歐洲同樣存在Hangover組織的活動，主要針對政府、軍方和民間組織。Hangover組織最初的入侵載體是進行魚叉式釣魚攻擊活動，利用來自南亞本地和熱點新聞誘使受害者更容易落入他們的社會工程技術(shù)陷阱，下載并執(zhí)行帶有攻擊性的微軟Office文檔。當用戶執(zhí)行這種攻擊性文檔后，BackConfig和攻擊者之間就建立了后門通信，開始進行間諜活動，有可能從被入侵的系統(tǒng)中泄露敏感數(shù)據(jù)。

整合WildFire、DNS Security以及Cortex XDR產(chǎn)品的Palo Alto Networks（派拓網(wǎng)絡(luò)）威脅防御平臺可以檢測到與該威脅組織相關(guān)的活動。Palo Alto Networks（派拓網(wǎng)絡(luò)）客戶還可以使用AutoFocus以及Hangover、BackConfig標簽查看與此威脅評估相關(guān)的活動。

結(jié)論

根據(jù)Unit 42的研究發(fā)現(xiàn)，Hangover組織很活躍，正在針對南亞地區(qū)的政府和軍事組織發(fā)起攻擊。該組織繼續(xù)使用被入侵的第三方基礎(chǔ)設(shè)施，通過包含網(wǎng)絡(luò)釣魚鏈接的魚叉式攻擊郵件，為傳送攻擊性文檔提供支持。

隨著時間的推移，傳送的文檔也在不斷發(fā)展演變，已從純文本代碼和URL轉(zhuǎn)為編碼格式。 從在文檔中存儲已編碼的可執(zhí)行文件到使用ZIP文件（包括打包文件），到最后從命令和控制服務器下載可執(zhí)行文件。

安裝傳送文檔中的BackConfig惡意軟件是通過多階段和多組件執(zhí)行的，這很可能會逃避沙箱或其他自動分析和檢測系統(tǒng)的監(jiān)測。 包括使用基于虛擬化的安全（VBS）和批處理代碼，計劃的任務以及條件觸發(fā)文件等等。

一旦完全安裝，BackConfig惡意軟件就會使用HTTPS與網(wǎng)絡(luò)犯罪分子進行通信，這會很難發(fā)現(xiàn)并檢測到，且會混合在其他類似流量中。

一旦受感染的系統(tǒng)處于犯罪分子控制之下，其目標就會因部署的插件、被入侵的系統(tǒng)或組織的類型而發(fā)生變化。

有關(guān)威脅影響的評估以及建議采取的措施，請詳細閱讀本次威脅評估報告全文

關(guān)于Palo Alto Networks（派拓網(wǎng)絡(luò)）

作為全球網(wǎng)絡(luò)安全領(lǐng)導企業(yè)，Palo Alto Networks（派拓網(wǎng)絡(luò)）正借助其先進技術(shù)重塑著以云為中心的未來社會，改變著人類和組織運作的方式。我們的使命是成為首選網(wǎng)絡(luò)安全伙伴，保護人們的數(shù)字生活方式。借助我們在人工智能、分析、自動化與編排方面的持續(xù)性創(chuàng)新和突破，助力廣大客戶應對全球最為嚴重的安全挑戰(zhàn)。通過交付集成化平臺和推動合作伙伴生態(tài)系統(tǒng)的不斷成長，我們始終站在安全前沿，在云、網(wǎng)絡(luò)以及移動設(shè)備方面為數(shù)以萬計的組織保駕護航。我們的愿景是構(gòu)建一個日益安全的世界。更多內(nèi)容，敬請登錄Palo Alto Networks（派拓網(wǎng)絡(luò)）官網(wǎng)www.paloaltonetworks.com或中文網(wǎng)站www.paloaltonetworks.cn。

關(guān)于 Unit 42

Unit 42 是 Palo Alto Networks 旗下的全球威脅情報團隊，是網(wǎng)絡(luò)威脅防御領(lǐng)域公認的權(quán)威，全球多家企業(yè)及政府機構(gòu)經(jīng)常向他們尋求幫助。我們的分析師是尋找和收集未知威脅以及使用代碼分析進行完全逆向工程解析惡意軟件的專家。憑借這些專業(yè)知識，我們提供優(yōu)質(zhì)、深入的研究，以深入了解威脅執(zhí)行者用來入侵組織的各種工具、技術(shù)和程序。我們的目標是盡可能提供背景信息，解釋攻擊的具體細節(jié)、攻擊的執(zhí)行者及其原因，以便世界各地的安全人員可以洞悉威脅，從而更好地防御攻擊。