专家揭晓模仿者黑客的网络间谍攻击

这场运动是由一个与伊朗有关的威胁组织发起的，该组织的活动、攻击方法和目标已在Trend Micro和以色列ClearSky公司的研究人员发表的联合详细报告中公布。

由研究人员配音模仿猫（又名火箭猫），该网络间谍组织至少自2013年以来一直活跃，针对以色列、沙特阿拉伯、土耳其、美国、约旦和德国的组织和个人，包括外交官和研究人员。
目标组织包括外交部等政府机构、国防公司、大型IT公司、学术机构、国防部分包商、市政当局以及联合国员工。

最新的报告[PDF]，被称为“枯萎郁金香行动“详细介绍了模仿者黑客组织开展的积极间谍活动、他们使用的各种工具和战术、其指挥和控制基础设施，以及该组织的作案手法。

模仿猫如何感染目标

该组织使用不同的战术渗透目标，包括水坑攻击—；其中JavaScript代码被插入到受损网站中，以传播恶意攻击。

其网站被滥用为水坑攻击的新闻媒体和组织包括《耶路撒冷邮报》，就连德国联邦信息安全办公室（BSI）也为此发布了警报、Maariv news和IDF残疾退伍军人组织。

除了水洞攻击，CopyKittens还使用其他方法来传递恶意软件，包括：

• 通过电子邮件发送到攻击者控制的恶意网站的链接。
• 利用最近发现的漏洞制作的武器化办公文件（CVE-2017-0199）。
• 使用漏洞扫描程序和SQLi工具（如Havij、sqlmap和Acunetix）对Web服务器进行攻击。
• 伪造社交媒体实体，与目标建立信任，并可能传播恶意链接。

Trend Micro在一篇博客文章中写道：“该组织使用这些方法的组合，在多个平台上持续瞄准同一名受害者，直到他们成功建立起感染的初始滩头阵地–；然后转向网络上价值更高的目标。”。

为了感染目标，CopyKittens利用自己的定制恶意软件工具，结合现有的商业工具，如红队软件Cobalt Strike、Metasploit、后开发代理帝国、TDTESS backdoor和凭证转储工具Mimikatz。

配音玛特罗什卡，remote access特洛伊木马是该集团自行开发的恶意软件，它使用DNS进行命令和控制（C&C）通信，能够窃取密码、捕获屏幕截图、记录击键、收集和上传文件，并允许攻击者访问MeterMeter外壳。

Clear Sky在一篇博客文章中说：“Matryoshka是通过附有文档的矛式网络钓鱼传播的。该文档要么包含一个恶意宏，要求受害者启用，要么包含一个嵌入式可执行文件，要求受害者打开。”。

2015年对该恶意软件的初始版本进行了分析，并于2016年7月至2017年1月在野外看到，不过该组织也开发并使用了Matryoshka版本2。

建议用户启用双因素身份验证，以保护其网络邮件帐户不被泄露，这是黑客的信息宝库，也是转向其他目标的“极其强大的初始滩头阵地”。