【资料】黎巴嫩雪松ATP利用网络服务器的全球间谍活动

黎巴嫩雪松是一个APT集团，已经运作了近十年攻击世界各地的公司和组织。

该组的主要攻击向量是入侵Oracle和AtlassianWEB服务器。ClearSky网络安全有限公司评估到，对这些系统的入侵是通过利用未修补的系统中的已知漏洞并使用开源黑客工具检测漏洞来实现的。

2020年初，在一系列公司中发现了可疑的网络活动和黑客工具。对受感染系统的综合取证研究显示，与黎巴嫩雪松之间有着密切的联系，在受害者网络中发现了"爆炸物"V4 RAT(远程访问工具)或"卡特彼勒"V2WebShell"的新版本。

基于一个经过修改的JSP文件浏览器，该浏览器带有一个独特的字符串，对手用于将“爆炸远程访问工具（RAT）”部署到受害者网络中，我们发现了大约250台服务器，这些服务器显然被黎巴嫩雪松（Cedar）入侵。我们的报告披露了该组织攻击的公司的部分名单。目标公司来自许多国家，包括：美国、英国、埃及、约旦、黎巴嫩、以色列和巴勒斯坦权力机构。ClearSky估计，还有更多的公司遭到黑客攻击，这些公司经过数月或数年的时间被窃取了有价值的信息。

【目录】

导言

当前工具

MITRE ATT&CK分类

运作方式

安装与控制

定制WebShell-“Caterpillar”2. 013

含有伊朗黑客集团分子模的WebShell17

在线获取开源WebShell

开源管理小组19

“爆炸”自定义远程访问工具

反调试21

新模块21

通过SSL与C2的通信21

归因

摘要和见解

危害指标

本文机器翻译由百分点智能翻译提供

官网地址：http://translate.percent.cn/

公司官网：https://www.percent.cn/

商务和技术咨询欢迎联系400-6240-800 或 [email protected]

原文PDF和机器翻译文档已上传小编知识星球