protip:如果您愿意Cyber​​-Scoundrels不知道Comp的内容,请不要申请巴基斯坦护照

受损的政府网站Slurps关于申请人的数据Buttload


巴基斯坦政府网站遭到钥匙记器和其他恶意软件,这些恶意软件会呼吸有关人员检查其护照申请状态的全部信息。

来自TrustWave的研究人员发现ScanBox JavaScript框架在网站上运行。

Keylogger巩固了令人受损网站的用户登录详细信息,而Scanbox指纹用户的浏览器和安装在用于登录的机器上的程序的详细信息。它还捕获了77个常见的反恶意软件包,发出其调查结果的详细信息到攻击者的命令和控制服务器。

The user's IP address, the referring site, operating system, user-agent string and installed browser plugins were all collected. The compromised site is at hxxp://gdip.gov.pk (do NOT visit this link!).

Trustwave的Ziv Mador告诉 企业技术新闻 他的公司发现了在遥测数据中播种的不寻常的事情之后发现了违规行为。他说:“它在网站上的外观非常微不足道。除了链接 [到Scanbox Payload Server] 没有其他妥协的迹象。“

Scanbox以前在Infosec公司Fireeye的研究中播种, 追溯到至少2015年。该公司将其描述为APT工具。

突出了这种恶意软件活动如何与较低级别的网络克鲁克斯建立的通常的富裕快速诈骗不同,Mador表示:“我们可以说最常用的目的 [恶意软件] 从根本上推动......产生收入的事情。这里有不同:他们没有尝试安装任何恶意软件。“

将歹徒描述为“可能是一个复杂的团队”,Mador推测,他们的意图是使用Scanbox削减的信息来“用进一步的恶意软件感染”,以精确绘制围绕着目标设备上安装的已知反恶意软件套件的废气装订。

“我们联系了巴基斯坦政府网站关于这种感染,但随着出版的时间,这篇博客职位没有收到任何反应,网站仍然受到损害,”耸耸肩的信任袭击。虽然在威胁研究公司开始戳了周围后,命令和控制服务器很快就会休眠,但无法保证运营商不会再次反应它。

攻击的时机对更广泛的政治背景感兴趣。信托维首次在3月2日首次发现感染,在印度之间紧张局势之后不久,巴基斯坦爆发成军事行动。哥们告诉虽然TrustWave没有任何信息表明谁在感染背后,但是 El Reg.:“鉴于这是护照网站,很可能 [感染] 在政治上有动力。大约三分之一到四分之一 [在发现妥协后,使用该网站观察的那些信徒] 人们住在巴基斯坦外面。也许他们正在前往巴基斯坦。有人有兴趣监测这一点。“

去年巴基斯坦空军是 由一个国家赞助的小组定位在竞选活动中被称为Shaheen,而以前的研究人员注意到两国之间的网络狙击 倾向于在两者之间的全国假期和体育夹具周围达到峰值。 ®

类似主题


您可能喜欢的其他故事

咬住它的手©1998-2021