作者：Palo Alto Networks（派拓網(wǎng)絡(luò)）威脅情報(bào)團(tuán)隊(duì)Unit 42

Palo Alto Networks（派拓網(wǎng)絡(luò)）威脅情報(bào)團(tuán)隊(duì)Unit 42的研究人員最近公布了Hangover威脅組織（又名Neon、Viceroy Tiger、MONSOON）的活動情況。該組織在南亞地區(qū)針對政府和軍事組織進(jìn)行BackConfig惡意軟件攻擊。因此，我們?yōu)镠angover組織的活動制作了這份威脅評估報(bào)告，相關(guān)技術(shù)和攻擊活動可通過訪問Unit 42 Playbook Viewer進(jìn)一步了解。

Hangover組織是一個(gè)網(wǎng)絡(luò)間諜組織，2013年12月首次被發(fā)現(xiàn)針對挪威一家電信公司進(jìn)行網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)安全公司Norman報(bào)道稱，網(wǎng)絡(luò)攻擊是在印度出現(xiàn)的，該組織尋找并對巴基斯坦和中國等國家利益目標(biāo)進(jìn)行攻擊。不過，也有跡象表明美國和歐洲同樣存在Hangover組織的活動，主要針對政府、軍方和民間組織。Hangover組織最初的入侵載體是進(jìn)行魚叉式釣魚攻擊活動，利用來自南亞本地和熱點(diǎn)新聞?wù)T使受害者更容易落入他們的社會工程技術(shù)陷阱，下載并執(zhí)行帶有攻擊性的微軟Office文檔。當(dāng)用戶執(zhí)行這種攻擊性文檔后，BackConfig和攻擊者之間就建立了后門通信，開始進(jìn)行間諜活動，有可能從被入侵的系統(tǒng)中泄露敏感數(shù)據(jù)。

整合WildFire、DNS Security以及Cortex XDR產(chǎn)品的Palo Alto Networks（派拓網(wǎng)絡(luò)）威脅防御平臺可以檢測到與該威脅組織相關(guān)的活動。Palo Alto Networks（派拓網(wǎng)絡(luò)）客戶還可以使用AutoFocus以及Hangover、BackConfig標(biāo)簽查看與此威脅評估相關(guān)的活動。

結(jié)論

根據(jù)Unit 42的研究發(fā)現(xiàn)，Hangover組織很活躍，正在針對南亞地區(qū)的政府和軍事組織發(fā)起攻擊。該組織繼續(xù)使用被入侵的第三方基礎(chǔ)設(shè)施，通過包含網(wǎng)絡(luò)釣魚鏈接的魚叉式攻擊郵件，為傳送攻擊性文檔提供支持。

隨著時(shí)間的推移，傳送的文檔也在不斷發(fā)展演變，已從純文本代碼和URL轉(zhuǎn)為編碼格式。 從在文檔中存儲已編碼的可執(zhí)行文件到使用ZIP文件（包括打包文件），到最后從命令和控制服務(wù)器下載可執(zhí)行文件。

安裝傳送文檔中的BackConfig惡意軟件是通過多階段和多組件執(zhí)行的，這很可能會逃避沙箱或其他自動分析和檢測系統(tǒng)的監(jiān)測。 包括使用基于虛擬化的安全（VBS）和批處理代碼，計(jì)劃的任務(wù)以及條件觸發(fā)文件等等。

一旦完全安裝，BackConfig惡意軟件就會使用HTTPS與網(wǎng)絡(luò)犯罪分子進(jìn)行通信，這會很難發(fā)現(xiàn)并檢測到，且會混合在其他類似流量中。

一旦受感染的系統(tǒng)處于犯罪分子控制之下，其目標(biāo)就會因部署的插件、被入侵的系統(tǒng)或組織的類型而發(fā)生變化。

有關(guān)威脅影響的評估以及建議采取的措施，請?jiān)敿?xì)閱讀本次威脅評估報(bào)告全文

關(guān)于Palo Alto Networks（派拓網(wǎng)絡(luò)）

作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè)，Palo Alto Networks（派拓網(wǎng)絡(luò)）正借助其先進(jìn)技術(shù)重塑著以云為中心的未來社會，改變著人類和組織運(yùn)作的方式。我們的使命是成為首選網(wǎng)絡(luò)安全伙伴，保護(hù)人們的數(shù)字生活方式。借助我們在人工智能、分析、自動化與編排方面的持續(xù)性創(chuàng)新和突破，助力廣大客戶應(yīng)對全球最為嚴(yán)重的安全挑戰(zhàn)。通過交付集成化平臺和推動合作伙伴生態(tài)系統(tǒng)的不斷成長，我們始終站在安全前沿，在云、網(wǎng)絡(luò)以及移動設(shè)備方面為數(shù)以萬計(jì)的組織保駕護(hù)航。我們的愿景是構(gòu)建一個(gè)日益安全的世界。更多內(nèi)容，敬請登錄Palo Alto Networks（派拓網(wǎng)絡(luò)）官網(wǎng)www.paloaltonetworks.com或中文網(wǎng)站www.paloaltonetworks.cn。

關(guān)于 Unit 42

Unit 42 是 Palo Alto Networks 旗下的全球威脅情報(bào)團(tuán)隊(duì)，是網(wǎng)絡(luò)威脅防御領(lǐng)域公認(rèn)的權(quán)威，全球多家企業(yè)及政府機(jī)構(gòu)經(jīng)常向他們尋求幫助。我們的分析師是尋找和收集未知威脅以及使用代碼分析進(jìn)行完全逆向工程解析惡意軟件的專家。憑借這些專業(yè)知識，我們提供優(yōu)質(zhì)、深入的研究，以深入了解威脅執(zhí)行者用來入侵組織的各種工具、技術(shù)和程序。我們的目標(biāo)是盡可能提供背景信息，解釋攻擊的具體細(xì)節(jié)、攻擊的執(zhí)行者及其原因，以便世界各地的安全人員可以洞悉威脅，從而更好地防御攻擊。