安全研究人员发现了一个新的、大规模的网络间谍活动，攻击目标包括各国外交部、国防公司、大型信息技术公司、学术机构、市政当局的分包商等政府机构及联合国的雇员。
 

　　该间谍活动被研究人员称为CopyKittens(又名Rocket Kittens)，由伊朗的威胁组织发起。CopyKittens自2013年以来一直活跃在以色列、沙特阿拉伯、土耳其、美国、德国和约旦等国家。

　　趋势科技和以色列公司ClearSky联合发表了一份详细报告, 介绍了CopyKittens的攻击方式，包括各种工具、策略、控制集团基础设施的操作方式。

　　揭秘CopyKittens的攻击方式

　　“水坑攻击”+恶意软件传播

　　该组织使用不同的策略渗透他们的目标，其中包括对漏洞的攻击——将JavaScript代码插入到受攻击的网站中，以散布恶意攻击;该攻击方式被称为“水坑攻击”。

　　耶路撒冷邮报、Maariv新闻、IDF残疾退伍军人组织、甚至德国联邦信息安全办公室(BSI)都发布了安全警报。

　　除了“水坑攻击“外，CopyKittens还使用其他方法传递恶意软件，包括：

　　☛通过电子邮件，链接到由攻击者控制的恶意网站;

　　☛利用有缺陷的武器办公室文件(CVE-2017-0199);

　　☛利用漏洞扫描程序和SQLi工具，如Havij，sqlmap和Acunetix;

　　☛利用假的社交媒体实体，与目标建立信任关系，进而传播恶意链接。

　　趋势科技在博客文章中写道：“该组织使用以上方法，在多个平台持续瞄准同一受害者，直到成功建立起最初的感染带，然后再转向网络上的更高价值目标。”

　　自行开发恶意软件：Matryoshka版本翻新

　　为了感染其目标，CopyKittens利用自己的自定义恶意软件工具，结合现有的商业工具，如软件“Cobalt Strike，Metasploit”，之后开发代理Empire，TDTESS后门和凭据转储工具Mimikatz。

　　Matryoshka远程访问木马，是该组织自行开发的恶意软件之一。它使用DNS进行命令和控制(C&C)通信，能够窃取密码、捕获截图、记录击键、收集和上传文件，同时允许攻击者访问Meterpreter shell。

　　2015年，安全专家对恶意软件的初始版本进行综合分析，2016年7月至2017年1月，该恶意软件开始爆发增长。此外，间谍组织还开发并使用恶意软件Matryoshka的第二个版本。

　　为保护网络邮件账户不受攻击，用户被建议启用双重身份验证，因为这是黑客的宝贵信息，可以用来攻击其他目标。

(责任编辑：宋编辑)