10月20日,网络安全公司赛门铁克刚披露了一个针对南亚电信公司的神秘APT(高级持续威胁)组织,一个名为 LightBasin 的黑客组织被确定为针对电信行业发起一系列攻击的幕后黑手,其目标是从移动通信基础设施中收集“高度特定信息”,例如用户信息和呼叫元数据。
网络安全公司 CrowdStrike 研究人员发表分析报告称: LightBasin 又名UNC1945,这一组织从2016年起开始活跃,据统计自2019年以来, LightBasin 利用自定义工具通过电信协议中的防御漏洞攻击了全球13家电信公司。
CrowdStrike 调查发现,攻击者利用外部DNS (eDNS) 服务器通过 SSH 和先前建立的后门(如 PingPong)直接连接到其他电信公司的 GPRS 网络,在密码喷射攻击的帮助下安装恶意软件,以窃取其他网络系统的密码。
攻击者能够模拟GPRS网络接入点,以便与先前建立的后门一起执行命令通过电信网络传输流量控制通信。
LightBasin 恶意软件库中有一个名为“CordScan”的网络扫描和数据包捕获实用程序,它能允许运营商对移动设备进行指纹识别及“SIGTRANslator“(一种可以通过卫星定位系统协议套件传输和数据接收的ELF二进制文件,用来通过IP网络承载公共交换电话网信令)。
CrowdStrike 指出,攻击者正是借助电信公司之间的漫游协议需要服务器相互通信这点,打通了组织间流量后能在多家电信公司之间进行切换。为避免类似攻击,CrowdStrike 建议电信公司制定 GPRS 网络防火墙规则,在 DNS 或 GTP等先前协议上限制网络流量。
10月20日,网络安全公司赛门铁克刚披露了一个针对南亚电信公司的神秘APT(高级持续威胁)组织,一个名为 LightBasin 的黑客组织被确定为针对电信行业发起一系列攻击的幕后黑手,其目标是从移动通信基础设施中收集“高度特定信息”,例如用户信息和呼叫元数据。
网络安全公司 CrowdStrike 研究人员发表分析报告称: LightBasin 又名UNC1945,这一组织从2016年起开始活跃,据统计自2019年以来, LightBasin 利用自定义工具通过电信协议中的防御漏洞攻击了全球13家电信公司。
CrowdStrike 调查发现,攻击者利用外部DNS (eDNS) 服务器通过 SSH 和先前建立的后门(如 PingPong)直接连接到其他电信公司的 GPRS 网络,在密码喷射攻击的帮助下安装恶意软件,以窃取其他网络系统的密码。
攻击者能够模拟GPRS网络接入点,以便与先前建立的后门一起执行命令通过电信网络传输流量控制通信。
LightBasin 恶意软件库中有一个名为“CordScan”的网络扫描和数据包捕获实用程序,它能允许运营商对移动设备进行指纹识别及“SIGTRANslator“(一种可以通过卫星定位系统协议套件传输和数据接收的ELF二进制文件,用来通过IP网络承载公共交换电话网信令)。
CrowdStrike 指出,攻击者正是借助电信公司之间的漫游协议需要服务器相互通信这点,打通了组织间流量后能在多家电信公司之间进行切换。为避免类似攻击,CrowdStrike 建议电信公司制定 GPRS 网络防火墙规则,在 DNS 或 GTP等先前协议上限制网络流量。
- [ 2022-08-08 ] 天帷动态│沈昌祥院士莅临天帷信安考察指导
- [ 2025-07-04 ] 天帷动态丨安徽科力信息产业有限责任公司董事长张敏一行到中检天帷参观交流
- [ 2025-07-03 ] 中检天帷入选2025年广州市网络数据安全风险评估机构
- [ 2025-07-03 ] 中检天帷团队荣获2025 年“浙密杯”暨浙江省密码技术应用职工职业技能竞赛团队三等奖
- [ 2025-07-01 ] 天帷动态丨中检鉴真、中检天帷一行赴中国质量认证中心杭州分中心开展业务交流
- [ 2025-06-28 ] 天帷动态丨中检天帷与丰田汽车(中国)投资有限公司开展业务交流
- [ 2025-06-27 ] 校企合作|安徽大学-中检天帷“产教融合联合实验室”揭牌!
