转发以前微信公众号发的文章,Sec-UN独家发。
这篇说的隐晦一些,内容摘自国外不靠谱媒体。
今日US Threat Intelligence公司CyberESI公司再发报告,污熊猫国功夫熊猫于2011年10月10日至2012年8月13日期间,跨国出手做掉了以国排行前三防务技术公司Elisra集团、以色列航空航天工业和Rafeel高级防御系统公司。
CyberESI公司通过对功夫熊猫建立的秘密通信网络的破译,发现熊猫已经搞定这3个以国防务公司的大量数据,包括箭3导弹、无人机、弹道导弹等领域的技术文档。根据CyberESI的描述,功夫熊猫的主要寻找对象是以国的全天候防控系统-铁穹。除了铁穹,据称其中还包含很多US提供给以国的受控技术,如其中包含了900页的,描述了箭3导弹详细的原理和规格的文档,这里面的技术大多是波音等US防务公司设计的。
CyberESI也详细描述了熊猫的行动过程,以以色列航空航天工业为例,对其的攻击是从2012年4月15日的一系列精心构造的钓鱼邮件开始的。CyberESI
认为与Mandiant此前爆料的魔都某功夫熊猫团有关。
再进入了以色列航空航天工业网络之后,熊猫们在2012年花了4个月,在其系统中安装了诸多的工具和木马程序以渗透其网络并方位敏感文件。熊猫先后进行了提权,获取密码hash,并且获取了若干系统的系统文件和网络信息。熊猫成功的导出了以色列航空航天工业的两个域的域控中的AD数据。
CyberESI判断熊猫至少获取了以色列航空航天工业的700个文件(共762MB)。这些文件包括了WORD、PowerPoint、Excel表、邮件、PDF文档,脚本和可执行文件。
据CyberESI判断,熊猫在进入网络后,首先搞定了本地和域特权账号,然后以此逐步渗透网络和搞定更多系统。熊猫首先使用hash导出攻击获取了本地管理员账号凭据,然后使用本地管理员账号凭据在其他系统中安装木马。熊猫可能也在域控上使用hash导出工具导出了基本整个网络中的hash。熊猫同时也在用户系统张安装了键盘记录器,捕捉了访问网络中其他非Windows设备的密码。
据称,熊猫攻击Elisa的手段也基本类似,大概从2011年10月开始,一直持续到2012年7月。
八卦结束,请勿邀茶。