记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

卡巴斯基安全报告:解析2017年APT组织Gaza Cybergang最新动向

2017-11-01 13:30

执行摘要

Gaza Cybergang黑客组织是一个使用阿拉伯语的,有政治动机的网络犯罪组织,从2012年被发现至今,主要瞄准MENA(Middle East North Africa,中东北非)地区的目标进行攻击。Gaza Cybergang间谍组织一直保持着积极的活跃度,典型的攻击目标包括政府机构、大使馆、石油和天然气行业、媒体人士、政客和外交官。

2017年,卡巴斯基实验室发现一个关于Gaza Cybergang间谍组织的有趣的新情况,该组织针对MENS的一个石油和天然气组织进行攻击,渗透目标的系统并窃取数据,攻击时长超过一年。

此外,还检测到Gaza Cybergang间谍组织最近开始利用CVE 2017-0199漏洞,下载脚本被嵌入到MS Access文件中以降低其被检测到的可能性。从 2017年4月下旬开始出现了使用移动端恶意软件的痕迹,这一情况正在调查中。

Gaza Cybergang间谍组织最近的目标似乎有些分散:攻击目标没有特定的范围,该组织似乎在收集MENS地区不同类型的情报。

一些关于Gaza Cybergang间谍组织的有趣的变化:

  • Gaza Cybergang组织的攻击者继续攻击MENS地区的政府机构;
  • Gaza Cybergang组织的新目标包括MENS地区的石油和天然气行业的实体;
  • Gaza Cybergang组织使用的新工具和新技术包括:
    • 滥用CVE 2017-0199漏洞
    • 在MS Access文件中使用宏函数,使恶意脚本的检测率更低
    • 攻击者可能还利用了Android手机上的恶意软件

卡巴斯基实验室产品和服务能够检测到的Gaza Cybergang攻击活动的样本名称如下:

  • HEUR:Exploit.MSOffice.Generic
  • HEUR:Trojan.Win32.Cometer.gen
  • HEUR:Trojan.Win32.Generic
  • Trojan-Downloader.Win32.Downeks
  • Trojan-Spy.MSIL.Downeks
  • Bublik
  • Agentb

技术细节

此前,Gaza Cybergang组织总是使用非常简单的、通用型的工具对受害目标发起网络袭击活动,经常依靠各种远程访问木马(RAT)来实现攻击目标,例如Downeks、Qasar、Cobaltstrike等。

从2017年6月开始,研究人员发现Gaza Cybergang组织的攻击者开始使用CVE 2017-0199漏洞,利用MS Office文档在未打补丁的受害者系统上直接执行恶意代码(如Cobaltstrike有效载荷)。另一个有趣的发现攻击者可能使用了一个Android特洛伊木马程序,该程序从2017年4月开始就被放置到攻击者的某个C&C服务器上了。

大多数情况下,恶意软件是通过电子邮件的压缩附件或下载链接进行分发的。从2017年3月开始,恶意程序下载器或嵌入了恶意宏函数的Microsoft office文档被下发到受害者的设备上。下载器被打开时,会联系一个URL或IP地址以获取实际的有效载荷。一旦成功执行,恶意软件将授予攻击者完全的系统访问权限,攻击者将拥有从受害者的设备上收集文件、键盘记录和屏幕截图的能力。如果受害人检测到了初始被下载的恶意软件,下载器会尝试检索其他恶意文件再下发到受害者的设备上,只要其中一个恶意软件能够工作,攻击者的袭击活动就仍可继续进行。

最近发现的袭击活动

从Gaza C ybergang组织最近的活动中提取到的样本文件的研究结果,如下表所示:

 

新的发现

Gaza Cybergang组织的攻击者在不断的发展他们的攻击能力,最近的活动中,除了使用新的方法和技术来传播恶意软件外,还利用了区域整治和人道主义事件作为社会工程的诱饵材料(主要体现在恶意文档的命名上)。

2017年,研究人员发现Gaza Cybergang组织袭击了MENA地区的一个石油和天然气组织,成功渗透目标系统并窃取数据,入侵的时间超过一年。(详情参见之前发布的报告

同时还发现Gaza Cybergang组织有可能使用了Android恶意软件的痕迹,该组织的攻击者持续的使用Downeks下载器和Quasar/Cobaltstrike RATs工具攻击使用了Windows系统的目标设备,使他们能够获得远程监控和窃取数据的能力。最近的活动中则使用了更有效的CVE 2017-0199漏洞,从受害者未打补丁的系统上直接获取执行代码的能力。使用Microsoft Access数据库文件也使得攻击活活动更具隐蔽性。

上述这些改进有助于帮助攻击者持续进行网络攻击活动,目标是各种各样的受害者和组织,有时候一些袭击甚至绕过了系统的防御体系并持续了很长时间。

(1)在社会工程攻击中广泛应用人道主义和政治事件

袭击者的攻击目标主要是:政府机构/大使馆、石油和天然气行业、媒体/新闻界、活动家、政治家和外交官等受害者/组织。

Gaza Cybergang组织越来越依赖于先进的社会工程技术,结合最新发生的社会与政治和人道主义方面的区域热点事件,比如:巴勒斯坦政府不向Gaza雇员支付工资、巴勒斯坦囚犯在以色列监狱绝食、卡塔尔的政治危机等。

Gaza Cybergang组织最近的目标似乎各不相同,攻击者对目前似乎没有选择性,更像是在搜集各种类型的情报。

标题:卡塔尔新闻社黑客攻击的新细节

(2)携带恶意宏函数的Microsoft Access文件

使用携带恶意宏函数的Microsoft Access文件,是Gaza Cybergang组织新发展的一项能力。嵌入了宏函数的的MS Access数据库文件被证明具有非常低的检测率。

MD5:6d6f34f7cfcb64e44d67638a2f33d619

文件名:gaza2017.mdb

C1:http://download.data-server.cloudns[.]club/GAZA2017.mdb

下载并执行:

  • data-server.cloudns[.]club/wordindexer.exe

  • data-server.cloudns[.]club/indexer.exe

不接受薪水的雇员的数据库,点击“启用内容”来查看数据

解密代码(示例)

(3)利用CVE 2017-0199漏洞

MD5:87a67371770fda4c2650564cbb00934d

第一次被观察到的时间:20-06-2017

文件名:

  • نقاطاتفاقحماسوتيارفتحالاصلاحي.doc(翻译:哈马斯和法塔赫运动的改革派之间的协议要点)
  • محضراجتماعمركزيةفتحالليلة.doc(翻译:今晚的会议纪要)
  • سلفةأمراتبللموظفينيومالثلاثاءالمقبل؟.doc(翻译:员工下星期二的薪水或薪水的预付款)

这次攻击利用了CVE-2017-0199漏洞,通过电子邮件分发一种恶意的RTF文件。该漏洞利用编写了能够控制嵌入的Ole2link对象的代码,允许Microsoft Office Word运行从138.68.242[.]68远程下载下来的文件,下载的有效载荷是Cobaltstrike,它会连接到lol.mynetav [.]org,便于接收攻击者的命令。(更多细节参见360天眼实验室发布的报告

(4)可能使用了Android恶意软件

2017年4月23日,在Gaza Cybergang组织攻击者的一个控制中心服务器上检测到了APK文件的痕迹,

URL地址:http://alasra-paper.duckdns[.]org/send/%D9%88%ket-Edition-1.04_ApkHouse[.]com/Dont-Starve-Pocket-Edition-1.04_ApkHouse[.]com.apk

该APK文件名为“Dont-Starve-Pocket-Edition-1.04_ApkHouse[.]com.apk”,是一个Android应用程序文件,看起来像是一个流行的游戏APP。(相关资料:Gaza地区android木马程序相关的报告

结论

Gaza Cybergang组织展示了其发起大量攻击和利用先进的社会工程学的能力,除了积极开发攻击活动、基础设施以及应用新技术、新方法之外,攻击者还努力的改进其工具包,确保尽量躲避掉安全产品和服务的检测。预计短期内这类攻击活动还会加剧,无论是在质量上还是数量上。

为了保护您的公司不受恶意软件的侵害,建议您实施以下措施:

  • 充分教育员工,是他们能够区分合法的电子邮件/链接和鱼叉式网络钓鱼电子邮件/钓鱼链接;
  • 使用经过验证的企业级安全解决方案,结合反APT攻击解决方案,通过分析网络异常来捕捉网络攻击;
  • 提供条件允许安全的工作人员获得最新的威胁情报数据,从而有针对性的进行预防使用有效的工具预防和发现攻击,如入侵指标和YARA规则;
  • 确保企业内部建立并运营着良好的补丁管理流程。

附录(IOCs)

恶意活动的域名信息:

moreoffer[.]life
signup.updatesforme[.]club
ping.topsite[.]life
alasra-paper.duckdns[.]org
hamas-wathaq.duckdns[.]org
download.data-server.cloudns[.]club
upgrade.newshelpyou[.]com
manual.newphoneapp[.]com
hnoor.newphoneapp[.]com
lol.mynetav[.]org

IP 地址:

138.68.242[.]68
185.86.149[.]168
185.11.146[.]68
45.32.84[.]66
45.32.71[.]95
107.161.27[.]158
46.246.87[.]74

Hash值

MD5

87a67371770fda4c2650564cbb00934d
4f3b1a2088e473c7d2373849deb4536f
c078743eac33df15af2d9a4f24159500
3ff60c100b67697163291690e0c2c2b7
a3de096598e3c9c8f3ab194edc4caa76
7d3426d8eb70e4486e803afb3eeac14f
3f67231f30fa742138e713085e1279a6
552796e71f7ff304f91b39f5da46499b
6fba58b9f9496cc52e78379de9f7f24e
eb521caebcf03df561443194c37911a5
b68fcf8feb35a00362758fc0f92f7c2e
d87c872869023911494305ef4acbd966
66f144be4d4ef9c83bea528a4cd3baf3
B7390bc8c8a9a71a69ce4cc0c928153b
F43188accfb6923d62fe265d6d9c0940
056d83c1c1b5f905d18b3c5d58ff5342
0ee4757ab9040a95e035a667457e4bc6
7bef124131ffc2ef3db349b980e52847
70d03e34cadb0f1e1bc6f4bf8486e4e8
67f48fd24bae3e63b29edccc524f4096
7b536c348a21c309605fa2cd2860a41d
cf9d89061917e9f48481db80e674f0e9
6d6f34f7cfcb64e44d67638a2f33d619
86a89693a273d6962825cf1846c3b6ce
5472d0554a0188c0ecebd065eddb9485

SHA256
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知识来源: www.mottoin.com/106761.html

阅读:107411 | 评论:0 | 标签:安全报告 APT攻击 Gaza Cybergang 中东北非

想收藏或者和大家分享这篇好文章→复制链接地址

“卡巴斯基安全报告:解析2017年APT组织Gaza Cybergang最新动向”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云