记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

APT33分析报告:FireEye揭秘瞄准航空航天和能源部门的伊朗网络间谍组织

2017-09-22 05:20

前情提要

讨论有关中东地区黑客组织的网络攻击行为时,许多人会想到伊朗的间谍组织,例如著名的SHAMOON(又名Disttrack),该组织初期的攻击目标在波斯湾周边地区。然而,在过去的几年中,我们一直在跟踪一个单独但鲜为人知的、具有潜在破坏能力的、被怀疑与伊朗有关的网络间谍组织,我们将其称之为APT33。

分析表明,APT33的活动踪迹至少可以追溯至2013年,该组织很可能是为伊朗政府工作。

瞄准的目标

APT33的攻击目标主要是总部位于重点关注美国、沙特阿拉伯和韩国的组织,这些组织跨越多个行业,观察APT33以往的活动可知,它尤其关注航空航天(包括军事的和商业的)和与石油化工生产有关的能源部门的组织。

从2016年中至2017年初,APT33入侵了美国一家航空航天领域的组织,并试图攻击一个位于沙特阿拉伯的一家拥有航空控股的企业。与此同时,APT33还针对韩国的与石油化工有关的公司发起过攻击。

从最近的一些活动来看,2017年5月,APT33试图入侵一些沙特阿拉伯和韩国的企业,威胁行为者试图引诱一家沙特阿拉伯石油化工公司的员工打开一个伪造的职位应聘文档(实际上为恶意文件)。

我们评估了APT33的攻击目标,其中有多家航空公司与沙特阿拉伯存在着合作伙伴关系,这表明APT33的真正目的可能是深入了解沙特阿拉伯的军事航空能力,用以提高伊朗国内航空能力,或者可能是为了伊朗针对沙特阿拉伯的军事和战略决策提供支持。

将沙特的组织作为攻击目标可能是为了试图洞察区域竞争对手的更多信息;而针对韩国企业的攻击可能与最近韩国与中东地区国家(包含伊朗和沙特阿拉伯)的合作伙伴关系有关。伊朗表示有兴趣发展国家的石化工业,通常将沙特的石化公司作为其扩张计划的竞争对手。伊朗希望扩大自己的石油生产,并提高在中东地区的竞争力,而APT33组织一系列的行动很可能是这一政策的结果之一。


*注释1:韩国是伊朗亚洲地区主要的客户之一,海关数据显示,2017年1-8月份,韩国从伊朗进口1222万吨或每日368,529桶原油,较去年同期的833万吨增长46.7%。


分析先前观察到的其他伊朗网络间谍组织的目标,反映出他们对能源和石化行业的组织的普遍关注,这充分说明这些伊朗威胁行为者之间存在共同的利益关系。

图1:APT33全球范围内攻击目标概略图

钓鱼攻击

APT33向航空航天行业公司工作的员工发送鱼叉式网络钓鱼邮件。这些邮件通常伪装成职位招聘的诱惑受害者目标打开,邮件中的链接指向恶意的HTML应用程序链接(.hta)文件,这个.hta文件中包含工作岗位的描述和一个链接(指向热门的合法的求职网站,工作岗位与攻击目标相符合)。

如下图2所示,对用户来说,文件似乎是引用了一个良性的合法的职位介绍;然而,事实上,这个.hta文件还植入了恶意代码,会自动下载一个APT33定制的后门程序。

图2:APT33使用的一个恶意的.hta文件的样图

APT33使用ALFA TEaM Shell (又名 ALFASHELL)作为内置钓鱼模块,ALFASHELL在2016年是公开可用的,能够有针对性的向受害目标发送鱼叉式网络钓鱼邮件。许多的钓鱼邮件看起来似乎是合法的:攻击者精心设计了特定的工作岗位和工资待遇,提供一个链接将受害者引到一个伪造的就业网站,甚至还伪造了公司宣称的“机会均等”的雇用声明。

然而,在少数情况下,APT33操作者使用了未经修改的钓鱼模块的默认值。这些似乎是操作失误,如果发送了使用默认值的钓鱼邮件,几分钟后APT33操作者会再次向同一收件人发送一个移除了默认值的电子邮件。

如下图3所示,ALFA Shell 中钓鱼模块的“虚假邮件”的模版包含一些默认值,如发件人的电子邮件地址(solevisible@gmail[.]com)、邮件主题是(“your site hacked by me”)和邮件内容是(“Hi Dear Admin”)。

图3:ALFA TEaM Shell v2-虚假邮件(默认模版)

下图4显示了一个使用ALFA Shell默认值的虚假邮件的示例:

图4:使用ALFA Shell默认模版生成的电子邮件示例

域名伪装

APT33注册了多个域名,试图伪装成与沙特航空公司和西方组织有合作伙伴的企业,专门为沙特的军事和商业组织提供培训、维护和支持。基于观察到的目标模式,APT33可能使用这些域名向目标受害者组织发起更具有欺骗性的鱼叉式钓鱼邮件。

与这些伪装的域名有关的组织包括:波音(Boeing)、Alsalam航空公司、Northrop Grumman阿拉伯航空(NGAAKSA) 和 Vinnell Arabia。

boeing.servehttp[.]com

alsalam.ddns[.]net

ngaaksa.ddns[.]net

ngaaksa.sytes[.]net

vinnellarabia.myftp[.]org


*注释2:波音公司是Alsalam航空公司最大的股东,2015年,这两家公司与沙特航空航天产业合资,在沙特阿拉伯创建了沙特直升机支援中心,目标是为沙特阿拉伯直升机舰队提供服务,并在沙特航空航天供应基地建立自立的劳动力队伍。Alsalam航空公司还提供军事和商业的维护、技术支持以及内部装饰和整修/翻新服务。


*注释3:有两个域名似乎模仿了Northrop Grumman公司。这些合资企业(如Northrop Grumman阿拉伯航空和 Vinnell Arabia)为中东地区(尤其是沙特阿拉伯)提供航空支助服务,而Northrop Grumman阿拉伯航空和 Vinnell Arabia这两家公司均涉及一些训练沙特阿拉伯的国民警卫部的合同。


识别出与伊朗政府有关的可疑人物

我们确定了APT33恶意软件与一个伊朗人有关,推测是伊朗政府雇佣了一些人对其对手进行网络威胁活动。

我们发现一个使用了手柄“xman_1365_x”的攻击者可能已经参与了APT33 的后门程序TURNEDUP的开发和利用工作,“xman_1365_x”这个句柄出现在多个TURNEDUP样本的PDB目录中,如下图5所示:

图5:TURNEDUP样本中出现的“xman_1365_x”PDB字符串

“xman_1365_x”也是Barnamenevis伊朗编程和软件工程论坛的管理员,同时也是伊朗知名的黑客论坛Shabgard 和Ashiyane的注册账户,不过还没有找到证据证明这个攻击者是Shabgard或Ashiyane黑客行为组织的正式成员。

公开的资料显示 “xman_1365_x”与“Nasr”研究院有关,据说“Nasr”研究院相当于伊朗的“网络部队”,实际上由伊朗政府控制。此外,额外的证据显示“Nasr”研究院与2011-2013年发生的针对金融行业的一系列的拒绝服务攻击有关,那些攻击被称为Operation Ababil。2016年3月,美国司法部曾公开起诉过两个涉嫌受伊朗政府指派对美国基础设施进行网络攻击的嫌疑人,称他们受Operation Ababil支持实施了分布式拒绝服务攻击。尽管2016年起诉书中描述的个人和活动中,与本报告中讨论的不同,但这些证明表明,个人-“Nasr”研究院-伊朗政府,这之间存在一定的关联。

潜在的破坏能力,以及与SHAMOON的差别

APT33 使用的droppers名为“DROPSHOT”,它可能与恶意擦除软件SHAPESHIFT有关,而已公开的资料显示SHAPESHIFT瞄准的是沙特阿拉伯的组织。

虽然只能直接观察到的APT33使用DROPSHOT传递后门程序TURNEDUP的现象,但我们已经确定了多个DROPSHOT样品在野外下发SHAPESHIFT。SHAPESHIFT恶意软件能够根据其配置完成擦除磁盘、删除卷、删除文件等功能。DROPSHOT和SHAPESHIFT都包含一些古老的波斯语,这表明它们可能都是由说波斯语的人开发的(波斯语伊朗官方语言)。

目前还没有直接观察到的APT33使用SHAPESHIFT或其他的方式进行破坏性的操作,但APT33是我们观察到的目前为止唯一一个使用DROPSHOT的组织。还存在一种可能:DROPSHOT在伊朗的黑客团体之间是共享的,但还没有任何证据证明这一点。

在2017年3月卡巴斯基发布过一份报告,将DROPSHOT (他们称之为Stonedrill)和最新的SHAMOON(即Shamoon 2.0)进行了对比。卡巴斯基的研究人员认为这两种雨刷工具都采用了反模拟技术,并被用来瞄准沙特阿拉伯的组织,但两者也存在一些差异。例如,DROPSHOT使用了更先进的反模拟技术,利用外部脚步进行自我删除,并使用使用内存注入与外部驱动程序进行部署。卡巴斯基还指出在语言方面存在的差异:SHAMOON使用了阿拉伯-也门语言的语料,而DROPSHOT使用了波斯语。

我们也观察到SHAMOON和APT33这两个组织在目标、战术、技术和程序(TTP)方面存在的差异。例如,我们观察到SHAMOON主要瞄准中东地区的政府组织。而APT33已经瞄准了一些中东地区和全球性的商业组织。APT33在行动中还广泛的利用定制的和公开可用的工具。相反,我们没有观察到SHAMOON使用过全生命周期运营的方式,部分原因是由于雨刮器擦除了攻击生命周期的早期阶段的痕迹。

无论DROPSHOT是否是APT33的独家工具,从恶意软件和威胁活动的特征来看,APT33和SHAMOON似乎是两个不同的组织,因此,我们评估可能有多个伊朗的间谍组织在进行破坏性的袭击行动。

支持归因于伊朗的附加线索

APT33的目标是与国家民族利益密切相关的航空航天和能源行业的组织,这意味着威胁行为者背后最有可能是由政府支持的。再加上行动的时间与伊朗工作时间吻合、使用了多个伊朗黑客的工具,以及发现的伪装的服务器域名的特征,这些都支持了我们的评估:APT33背后可能是由伊朗政府操纵的。

观察APT33威胁行动者的活跃时间,接近世界标准时(UTC)4:30,这与伊朗的夏令时间(即+0430 UTC)相一致。

APT33在一周内的活跃时间也与伊朗的工作日相一致,在伊朗周末一般是周四和周五,人们在星期六到星期三工作,因此如下图6所示,在星期四没有攻击活动就有了合理的解释。据公共媒体报道,伊朗在星期六至星期三或星期六至星期四工作一周,星期四政府办公室关闭,一些私营企业星期四上午运营半天。其他的许多中东国家都选择将星期五和星期六作为周末,而伊朗将星期六到星期三定为工作日是比较少见的情况。

APT33利用流行的伊朗黑客的工具、使用疑是被其他伊朗黑客团体使用过的DNS服务器、利用公开的后门和工具(包括NANOCORE、NETWIRE和ALFA Shell,这些工具在伊朗的黑客网站上都可以找到,与伊朗的黑客有关,疑是被其他的伊朗黑客团体使用过)。虽然不是决定性的确凿的证据,但使用公开的伊朗黑客工具和流行的伊朗托管公司,可能是由于APT33组织的成员对它们非常的熟悉,这些都只是APT33可能位于伊朗的评估。

图6:APT33在一周内的活跃时间

展望与启示

基于观测到的受影响目标,我们相信APT33从事战略性的网络间谍活动,瞄准了不同地理位置的的多个行业的组织。具体而言,特别关注航空航天和能源行业的组织,表明APT33可能在对政府或军事有益的战略情报。APT33专注于航空航天公司可能表明该组织希望洞察区域军事航空能力,用以增强伊朗的航空能力或支持伊朗的军事和战略决策;瞄准能源行业的多家控股公司和组织,符合伊朗国家优先发展政策,特别是与石油化工生产的增加有关。我们预计APT33活动将继续覆盖范围广泛的目标实体,可能蔓延到其他地区和部门,这一切由伊朗政府的利益决定。

APT33使用了多个定制的后门程序,表明他们有能力自己开发的一些资源,用以支持他们的业务,同时还利用公开可用的工具。与SHAPESHIFT的关系可能表明,APT33从事破坏性的操作,或者他们与另一个从事破坏性操作的伊朗黑客组织共享了工具或开发者。

附录

IoCs

知识来源: www.mottoin.com/106000.html

阅读:93284 | 评论:0 | 标签:安全报告 APT33 APT攻击 FireEye 伊朗 网络间谍组织

想收藏或者和大家分享这篇好文章→复制链接地址

“APT33分析报告:FireEye揭秘瞄准航空航天和能源部门的伊朗网络间谍组织”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云