真主党黑客组织瞄准了全球的电信、主机和ISP

一个据称与真主党有联系的“持久性攻击者组织”用新版远程访问特洛伊木马（RAT）重新装备了其恶意软件库，以侵入世界各地的公司并提取有价值的信息。

在ClearSky研究团队周四发布的一份新报告中，这家以色列网络安全公司表示，自2020年初以来，该公司发现了至少250台面向公众的网络服务器，这些服务器被威胁行为人黑客入侵，以收集情报并窃取该公司的数据库。

精心策划的入侵袭击了位于美国、英国、埃及、约旦、黎巴嫩、沙特阿拉伯、以色列和巴勒斯坦权力机构的众多公司，其中大多数代表电信运营商的受害者（伊萨拉特、Mobily、沃达丰埃及）、互联网服务提供商（SAUNID、TE数据），以及主机和基础设施服务提供商（安全服务器有限责任公司，iomart）。

最早记录于2015年的Volatile Cedar（或黎巴嫩Cedar）已知可以使用各种攻击技术穿透大量目标，包括一种代号为炸药的定制恶意软件植入物。

挥发性雪松此前被怀疑起源于黎巴嫩—；特别是真主党的网络部队—；与2015年针对军事供应商、电信公司、媒体和大学的网络间谍活动有关。

2020年的袭击也不例外。ClearSky发现的黑客活动与真主党的行动相匹配，基于2015年和2020年爆炸鼠变种之间的代码重叠，该变种通过利用未修补的Oracle和Atlassian web服务器中已知的1天漏洞部署到受害者网络上。

使用服务器中的三个缺陷（CVE-2019-396，CVE-2019-11581A和CVE-2012-3152）作为攻击向量来获得初始立足点，攻击者随后注入了一个Web外壳和一个JSP文件浏览器，它们都被用来横向移动网络，获取额外的恶意软件，并下载爆炸性的RAT，它具有记录击键、捕获屏幕截图和执行任意命令的功能。

研究人员指出：“网络外壳用于对被攻击的网络服务器进行各种间谍活动，包括进一步攻击的潜在资产位置、文件安装服务器配置等。”，但在获得升级权限以执行任务并将结果传输到指挥与控制（C2）服务器之前。

ClearSky说，自从第一次看到爆炸性老鼠以来的五年里，植入物在其最新版本（V4）中增加了新的反调试功能，受损机器和C2服务器之间的通信现在已加密。

虽然威胁行动方保持低调并不令人意外，但黎巴嫩雪松自2015年以来一直设法隐藏起来，却没有引起任何关注，这一事实意味着该组织可能已在这段时间内长时间停止行动，以避免被发现。

ClearSky指出，该组织使用网络外壳作为主要黑客工具，可能有助于将研究人员引向“归因的死胡同”

研究人员补充说：“黎巴嫩雪松公司已经显著地转移了其关注点。最初，他们攻击计算机作为初始访问点，然后发展到受害者的网络，然后进一步发展（原文如此），以针对易受攻击的、面向公众的网络服务器。”。