内容简介:ChaferAPT组织隶属于伊朗,自2014年以来一直处于活跃状态,专注于网络间谍活动。 Bitdefender发现该组织2018年开始针对中东关键基础设施进行攻击,攻击中使用了多种工具、定制后门等。攻击主要针对航空运输和政府部门,攻击者多在周末进行攻击。在针对科威特的攻击中,攻击者创建了自己的用户帐户,针对沙特的攻击主要依靠社会工程学,两种攻击的最终目标都是窃取数据。
ChaferAPT组织隶属于伊朗,自2014年以来一直处于活跃状态,专注于网络间谍活动。 Bitdefender发现该组织2018年开始针对中东关键基础设施进行攻击,攻击中使用了多种 工具 、定制后门等。
攻击主要针对航空运输和政府部门,攻击者多在周末进行攻击。在针对科威特的攻击中,攻击者创建了自己的用户帐户,针对沙特的攻击主要依靠社会工程学,两种攻击的最终目标都是窃取数据。
攻击链分析
科威特
最初发现了一些反向TCP文件和PowerShell命令,攻击者可能使用恶意文档攻击受害者,并利用鱼叉式电子邮件进行传播。攻击者会在目标上使用侦察工具进行网络扫描(“ xnet.exe”,“ shareo.exe”)和凭证收集(如“ mnl.exe”或“ mimi32.exe”)或其他功能工具,例如CrackMapExec(用于用户枚举,共享列表,凭据收集等)。这些工具可帮助攻击者在网络内部横向移动。
攻击者使用psexec或使用RDP协议进行远程服务安装,一旦攻击成功便开始安装自定义模块:经过修改的Plink(wehsvc.exe)以及后门( imjpuexa.exe)。攻击者会在受害者的计算机上创建用户,并使用该用户在网络内部执行恶意操作。
大多数活动发生在周五和周六,与中东的周末相吻合。 观察到以下顺序:在其中一台机器上部署修改后的PuTTY工具(“ wehsvc.exe”); 四天后在同一系统上创建一个特定用户; 除了上述工具外,在该用户下还发现了rdpwinst(rdp会话管理),Smartftp Password Decryptor(安装程序)和 Navicat Premium等。
攻击者通过代理工具(“ mfevtpse.exe”和“ mini.exe”)或后门与受害者保持通信,其中一次攻击时间线如下所示。
沙特阿拉伯攻击链
攻击者最初是通过社会工程学攻击目标。RAT组件位于%Download%文件夹中,RAT执行了两次,两次执行相隔三分钟,使用不同的名称(“ drivers.exe”和“ drivers_x64.exe”)。使用“ etblscanner.exe”进行内部网络侦察。另外还发现了三种不同的RAT组件,其中一个组件“ snmp.exe”也以“ imjpuexa.exe”出现在科威特的某些受害者身上,攻击时间线如下:
工具分析
攻击者使用“the Non-Sucking”服务管理器来确保其关键组件(例如代理或RAT)已启动运行。 他们还使用Sysinternals工具(例如psexec)在受害者网络中横向移动,使用“ schtasks.exe”确保持久性,“ tasklist”用于测试持久性,“ nslookup”用于DNS通信,查询TXT记录。
发现了不同阶段使用的黑客工具,如Mimikatz、SafetyKatz或定制工具。利用所获得的凭据与psexec工具获取对特定计算机的访问权。 一些受感染的系统还包含Metasploit框架的shellcode片段,例如reverse_tcp,连接到不同的内部IP地址。另一个工具CrackMapExec,具有网络扫描等功能;发现PLINK修改版本,它可以作为Windows服务运行或卸载;发现了一个用C++编写的命令行工具,可作为代理使用。
在攻击过程中还观察到Python(可能是3.4版)编写的RAT。该工具具有两种通信类型(“ DNS”和“ HTTP”),工具的文件名是“ snmp.exe”,“ imjpuexa.exe”和“ driver_x86.exe”,硬编码的标头可如下:
HTTP通信请求标头“ GET / owa HTTP / 1.1 \ r \ nHost:live.com”和响应标头“ HTTP / 1.1 200 OK”。
此攻击中使用的另一个命令行工具“ xnet.exe”,它与nbtscan工具非常相似,可从计算机上网络适配器获取要扫描的IP范围。 还观察到C#工具(“shareo.exe”),该工具可获得指定IP范围内每台计算机的NetBIOS名称。
发现名为“ mas.dll”的后门,此文件与“xnet.exe”之间存在联系:
“F:\Projects\94-06\RCE\bin\Release\x64\mas.pdb” – “mas.dll” “F:\Projects\94-08\XNet\bin\Release\Win32\XNet.pdb”) – “xnet.exe”
MITRE matrix TTPs
持久化
T1050 “New Service”:
“wehsvc.exe” 创建 “imjpuexa.exe” 修改注册表 “HKLM\system\controlset001\services\microsoft updating\parameters\application”
T1053 “Scheduled Task”:
“MSCService.exe” 、“DBXService.exe”
T1136 “Create Account”:
创建用户
内网探测
T1016 “System Network Configuration Discovery”:
“xnet.exe”
C&C
T1090 “Connection Proxy”:
“mini.exe”、“mfevtpse.exe”、“mfevtps.exe”以及修改的Plink
防御检测
T1045 “Software packing”
“mfevtpse.exe”
T1036 “Masquerading”
“DBXService.exe”、 “MSCService.exe”
命令执行
T1059 “Command line interface”
凭证访问
T1003 “Credential Dumping”
Mimikatz
附录
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 海莲花组织使用新技术手段攻击越南某环保组织
- Lazarus组织攻击拉美金融机构
- 伊组织对美发起新一轮攻击
- 新威胁组织 DarkHydrus 针对中东政府发起攻击
- BlueMushroom组织最新动向及近年攻击活动揭露
- BlackTech组织针对我国金融行业发起持续攻击
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。