强大的“海龟”APT 组织潜水两年，通过 DNS 劫持攻击13国40机构

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

至少在两年的时间内，一个强大的组织就凭借 DNS 劫持攻击目标。在攻击行动中，受害者至少遍布13个国家，触及40多个公共和私有组织。

DNS 服务供用户在浏览器地址栏中输入域名而非 IP 地址的方式访问网站。它将域名转换为托管我们想要加载的网页的服务器数字目的地。

访问 DNS 记录可导致攻击者替代目标域名服务器的地址，从而指向自己的基础设施。攻击者一旦控制复杂处理和 web 域名相关联的 IP 地址请求的名称服务器，那么攻击者就能够将受害者定向到恶意服务器上的内容。

这个组织被称为“海龟”，它的攻击目标主要位于中东和北非地区，涵盖外交部门、军事组织机构、情报部门、能源公司等，目的是从事网络间谍活动。

为了获取敏感网络的访问权限，攻击者攻陷了负责响应域名名称服务器中不同级别的目标 web 资产的第三方实体，包括电信公司、互联网服务提供商、IT 公司、域名注册商（包括管理国家代码顶级域名的注册商）以及一家 DNS 注册商。它们是二级目标。

思科 Talos 团队在本周三发布了对该组织的分析报告，认为它发动了在年初公开的 NetNod 注册商遭 DNS 劫持的活动。

NetNod 公司指出，并未意识到成为攻击的目标，但注意到攻击者通过修改 DNS 记录“不活了瑞典以外国家互联网服务的登录详情”。

“海龟”组织使用的攻击向量包括鱼叉式钓鱼攻击和多个已知的漏洞，其中一个漏洞可追溯至2009年。这些漏洞包括但不仅限于：

• CVE-2009-1151：影响 phpMyAdmin 的 PHP 代码注入漏洞

• CVE-2014-6271：影响 GNU bash 系统尤其是 SMTP 的 RCE

• CVE-2017-3881：未认证用户提升权限导致的 RCE

• CVE-2017-6736：影响Cisco Integrated Service 路由器 2811 的远程代码利用

• CVE-2017-12617：影响运行 Tomcat 的 Apache web 服务器的 RCE

• CVE-2018-0296：目录遍历漏洞，导致未授权访问 Cisco Adaptive Security Appliances (ASAs) 和防火墙

• CVE-2018-7600：针对 Drupal 网站的 RCE，即“Drupalgeddon”

修改 DNS 记录后，“海龟”运营人员设立中间人框架，假冒受害者使用的合法服务来窃取登录凭证。为了躲避检测，攻击者通过“证书假冒”获取证书机构颁发的 X.509 证书。这种技术导致中间人攻击更难以被检测到。

“海龟”组织很可能是国家黑客组织，尽管它们的攻击方式很复杂，但仍然有一些应对措施。如下是 NetNod 公司提出的防御措施：

• 使用 DNSSEC（在签名区域和验证响应方面均使用）

• 使用注册功能如 Registry Lock 等，防止域名被修改

• 为应用程序、网络流量及其监控使用常见的访问控制列表

• 使用双因素认证机制，并要求所有相关用户和子承包商使用。

• 如果使用了密码，则使用唯一密码以及密码管理器

• 审查注册商和其它提供商的账户

• 通过监控证书透明度日志等方式监控证书

原文链接

https://www.bleepingcomputer.com/news/security/sea-turtle-campaign-focuses-on-dns-hijacking-to-compromise-targets/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。