Palo Alto Networks(派拓網絡)威脅情報團隊Unit 42的研究人員最近公布了Hangover威脅組織(又名Neon、Viceroy Tiger、MONSOON)的活動情況。該組織在南亞地區針對政府和軍事組織進行BackConfig惡意軟件攻擊。因此，我們為Hangover組織的活動制作了這份威脅評估報告，相關技術和攻擊活動可通過訪問Unit 42 Playbook Viewer進一步了解。

Hangover組織是一個網絡間諜組織，2013年12月首次被發現針對挪威一家電信公司進行網絡攻擊。網絡安全公司Norman報道稱，網絡攻擊是在印度出現的，該組織尋找并對巴基斯坦和中國等國家利益目標進行攻擊。不過，也有跡象表明美國和歐洲同樣存在Hangover組織的活動，主要針對政府、軍方和民間組織。Hangover組織最初的入侵載體是進行魚叉式釣魚攻擊活動，利用來自南亞本地和熱點新聞誘使受害者更容易落入他們的社會工程技術陷阱，下載并執行帶有攻擊性的微軟Office文檔。當用戶執行這種攻擊性文檔后，BackConfig和攻擊者之間就建立了后門通信，開始進行間諜活動，有可能從被入侵的系統中泄露敏感數據。

整合WildFire、DNS Security以及Cortex XDR產品的Palo Alto Networks(派拓網絡)威脅防御平臺可以檢測到與該威脅組織相關的活動。Palo Alto Networks(派拓網絡)客戶還可以使用AutoFocus以及Hangover、BackConfig標簽查看與此威脅評估相關的活動。

結論

根據Unit 42的研究發現，Hangover組織很活躍，正在針對南亞地區的政府和軍事組織發起攻擊。該組織繼續使用被入侵的第三方基礎設施，通過包含網絡釣魚鏈接的魚叉式攻擊郵件，為傳送攻擊性文檔提供支持。

隨著時間的推移，傳送的文檔也在不斷發展演變，已從純文本代碼和URL轉為編碼格式。 從在文檔中存儲已編碼的可執行文件到使用ZIP文件(包括打包文件)，到最后從命令和控制服務器下載可執行文件。

安裝傳送文檔中的BackConfig惡意軟件是通過多階段和多組件執行的，這很可能會逃避沙箱或其他自動分析和檢測系統的監測。 包括使用基于虛擬化的安全(VBS)和批處理代碼，計劃的任務以及條件觸發文件等等。

一旦完全安裝，BackConfig惡意軟件就會使用HTTPS與網絡犯罪分子進行通信，這會很難發現并檢測到，且會混合在其他類似流量中。

一旦受感染的系統處于犯罪分子控制之下，其目標就會因部署的插件、被入侵的系統或組織的類型而發生變化。