中东和非洲的政府实体一直在接受持续的网络间谍攻击，这些攻击利用前所未见且罕见的凭证窃取和交换电子邮件过滤技术。

帕洛阿尔托网络公司(Palo Alto Networks)高级威胁研究员利奥·罗切伯格(Lior Rochberger)在上周发布的一份技术深度调查报告中说，“袭击的主要目的是获取高度机密和敏感的信息，特别是与政客、军事活动和外交部有关的信息。”

该公司的Cortex威胁研究小组正在追踪这一活动，其临时名称为CL-STA-0043(CL代表集群，STA代表国家支持的动机)，并将其描述为“真正先进的持续威胁”。

感染链是通过利用易受攻击的现场Internet信息服务(IIS)和Microsoft Exchange来渗透目标网络而触发的。

帕洛阿尔托网络表示，它检测到失败的尝试执行中国菜刀网页外壳的攻击之一，促使对手改变战术，并利用内存中的Visual Basic脚本植入从Exchange Server。

成功入侵之后，会进行侦察活动，以绘制网络图，并找出保存有价值数据的关键服务器，包括域控制器、Web服务器、Exchange服务器、FTP服务器和SQL数据库。

CL-STA-0043还被观察到利用本机Windows工具进行权限升级，从而使其能够创建管理员帐户并以提升的权限运行其他程序。

另一种特权升级方法需要滥用Windows中的可访问性功能——即“粘滞键”实用程序（sethc.exe）——这使得绕过登录要求和给系统开后门成为可能。

“在攻击中，攻击者通常会用cmd.exe替换注册表中的sethc.exe二进制文件或指向这些二进制文件的指针/引用，”Rochberger解释说。“当被执行时，它为攻击者提供了一个提升的命令提示符shell来运行任意命令和其他工具。”

CrowdStrike今年四月早些时候记录了一种类似的方法，采用实用工具管理器（utilman.exe）来建立持久的后门访问受害者的环境。

除了使用MimiKatz盗取证件外，这位威胁演员的作案手法在利用其他新方法窃取密码、进行横向移动和提取敏感数据(如：

使用辅助网络提供程序执行恶意dll以获取明文密码并将其导出到远程服务器；

利用一个名为Yasso的开放源代码渗透测试工具集在网络中传播；

利用电子邮件交换命令行管理程序和PowerShell插件获取感兴趣的电子邮件。

值得指出的是，以前曾报道过使用ExchangePowerShell Snapin-ins导出邮箱数据的案例，该组织被称为“丝绸台风”(前身为Hafnium)，于2021年3月首次曝光，与微软Exchange Server的利用有关。

Rochberger说：“这个活动组的复杂程度、适应能力和受害情况表明，它是一个非常有能力的适当威胁行为者，而且它被怀疑是一个民族国家的威胁行为者。”