伊组织对美发起新一轮攻击
研究人员近期发现了APT34利用新工具集进行的网络活动。根据此次发现的网络钓鱼文件,伊朗黑客组织将美国Westat员工或Westat提供服务的组织作为攻击目标。Westat是一家美国公司,为美国政府机构以及企业,基金会以及州和地方政府提供研究服务。
APT34背景
APT34(也称为OilRig或Helix Kitten)是由伊朗政府支持的网络间谍组织,自2014年以来一直活跃。该组织的目标多为国际组织,主要集中在中东地区。他们的目标行业包括政府机构,金融服务,能源和公共服务,电信以及石油和天然气。2019年4月,该组织信息被揭露,包括受害者数据,黑客工具源代码和APT34操作的数据(Web Shell和域信息)。
最近,FireEye揭露了APT34进行的鱼叉式网络钓鱼攻击,两次活动所使用的技术和工具相似,够确定此次针对Westat的攻击也是同一个组织所为。
初始攻击
在2020年1月下旬发现了名为survey.xls的文件,该文件看起来像是针对Westat员工或Westat客户量身定制的员工满意度调查。最初电子表格是空白的,仅当受害者启用宏后调查表才会显示给用户,恶意VBA代码开始执行。
VBA将zip文件解压到临时文件夹中,提取“Client update.exe”可执行文件并将其安装到“C:Users
提取的VBA代码和功能与FireEye报告中分析的代码相似:
此外还发现了一个类似的文件,名为“Employee satisfaction survey.xls”。
该文档的“代码页”字段是阿语,可见阿语是文档作者Microsoft Excel版本上安装的首选语言:
TONEDEAF 2.0
“Client update.exe”看起来是一个全新的后门恶意软件,进一步的检查显示它是一个修改版本。TONEDEAF后门通过HTTP与命令和控制服务器通信,接收和执行命令。FireEye最近的报告中提到了该工具是APT34组织定制工具之一。
TONEDEAF 2.0与原始版本的目的相同,但是它有一个经过改进的C2通信协议和代码库。与原来的TONEDEAF不同,TONEDEAF 2.0只包含shell执行功能,不支持任何预定义的命令。它还包含了动态导入、字符串解码和目标欺骗等新方法。
在执行时程序会检查是否以“…”作为参数执行,如果在没有正确参数,例如通过双击启动它。它将向用户显示一个空白的窗口,使恶意软件看起来像一个合法的应用程序。
TONEDEAF 2.0还隐藏API,api名称以及dll被存储为字符串,在运行时按需解码和解析。
C2通信
后门使用HTTP进行C2通信,具有自定义编码和通信机制。后门发送的消息包含HTTP查询参数“?ser=<6 digits>”作为标识符。前三位是
- GET /dow?ser=
请求消息,用于从服务器获取要执行的命令。 - POST /upl?ser==
回复命令消息,将执行的命令结果发送到服务器。
在分析过程中C2处于活动状态,但不断向请求回复403 Forbidden HTTP错误代码。 C2可能正在过滤目标,分析中发送的client_id参数与目标受害者参数不匹配。如果C2接受了ID,将使用
该恶意软件将在命令前添加“ cmd U c”来执行该命令,并使用POST回复消息将命令结果发送回C2。当通过浏览器访问C2时,该站点尝试模仿
https://docs.microsoft.com/en-us/,由于CSS配置错误无法正确显示 :
还发现最近已生成与C2域匹配的SSL证书:
表明攻击者正在过渡到HTTPS通信,提高其OPSEC功能并避免检测。
原始TONEDEAF痕迹
通过对更改和新增部分的分析,有足够证据可将TONEDEAF 2.0与TONEDEAF聚类在一起。 虽然大部分代码已被修改,但总体流程和功能相似。 C2通信不同,但仍然与TONEDEAF相似,例如对受害者和服务器使用三位数字标识符。此外,两种恶意软件中都在Windows状态栏中创建了一个通知图标。
VALUEVAULT 2.0
目前无法下载其他模块,但是可以确认活动中使用了VALUEVAULT。 它是Golang中内置的浏览器凭证盗窃工具,是FireEye在分析APT34操作时发现的。用户上传的VALUEVAULT和TONEDEAF 2.0,与同一用户上载到VirusTotal的Survey.xls文件仅相隔几分钟,表明这些恶意软件属于攻击的一部分。
与以前的版本相比,此VALUEVAULT采用了更为简化的方法,舍弃了许多功能和字符串, 现在仅支持Chrome密码转储。
此外,VALUEVAULT 2.0是64位二进制文件,而VALUEVAULT 1.0是32位二进制文件。
总结
上个月APT34的最后一次操作是由FireEye揭露的,从目前的调查结果来看,本次针对美国公司的网络攻击行为也是该组织所为。对恶意软件变种技术分析显示,该组织已投入大量精力来升级其工具集,逃避检测。
IOCs
- manygoodnews[.]com
- c10cd1c78c180ba657e3921ee9421b9abd5b965c4cdfaa94a58e383b45bb72ca
- 4c323bc11982b95266732c01645c39618550e68f25c34f6d3d79288eae7d4378
- a897164e3547f0ce3aaa476b0364a200769e8c07ce825bcfdc43939dd1314bb1
- 20b3d046ed617b7336156a64a0550d416afdd80a2c32ce332be6bbfd4829832c
- d61eecd7492dfa461344076a93fc2668dc28943724190faf3d9390f8403b6411

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
漏洞赏金平台Bugcrowd融资3000万美元
近日,漏洞赏金平台Bugcrowd在由Rally Ventures牵头的D轮融资中募集了3000万美元。宣布这一消息之际,网络安全行业正面临着越来越大的技能鸿沟,报告显示,越来越多的网络犯罪和网络攻击在2021年将给全球造成高达6万亿美元损失,而随着新冠疫情的爆发,全球远程办公的常态化将使这一数字比预期的还要高。 位于旧金山的Bugcrowd成立于2012年,是众多众包漏洞赏金平台之一,该平台将公司与“白帽黑客”对接起来,以众包方式修复漏洞。Bugcrowd声称拥有许多知名客户,包括Twilio、Etsy、Tesla、Cisco、Pinterest、Atlassian和Sophos。 Bugcrowd的平台可帮助企业立刻获取新的网络安全功能/服务,并且其Bug猎手一直在远程工作,因此其服务不会受新冠肺炎社交隔离的影响。 Bugcrowd首席执行官Ashish Gupta对VentureBeat表示: 众包安全平台的构建旨在同时启用远程员工队伍,并帮助组织最大限度地利用安全资源,同时受益于众多“安全研究人员”的情报和见解。在当前形势下,许多公司没有所需的(安全)资源来保护和测试现在大部分...
- 下一篇
福特、大众畅销车曝安全漏洞,黑客可窃取隐私、操控车辆
近日,一份来自英国消费者协会杂志《Which?》调查报告发现,福特和大众的两款畅销车存在严重安全漏洞,黑客可利用该漏洞发动攻击,窃取车主的个人隐私信息,甚至是操控车辆,对车主的信息安全和生命安全产生极大的威胁。 《Which?》杂志联合网络安全公司Context Information Security开展调查,全方位检查了大众Polo SEL TSI手动1.0L和福特福克斯钛自动1.0L两款汽油型联网汽车,这两款汽车目前是欧洲市场最受欢迎的两款车型。 然而,尽管这两款车型得到了许多人的喜爱,而其安全测试却是让人大跌眼镜。据《Which?》的测试结果显示,安全研究人员能够进入大众的Polo汽车的信息娱乐系统,这个系统可以说是汽车“中枢神经系统”的一部分,因为它会影响到汽车的牵引力控制(一项辅助车主操控汽车的功能)。此外,信息娱乐系统中还存储着用户的个人敏感信息,比如电话、地理位置记录等。 不仅如此,人员还发现只要抬起汽车前部的大众徽章就能进入前雷达模块,黑客可通过这一动作进一步篡改车辆碰撞预警系统。 反观另一方福特的福克斯测试结果,情况似乎也不容乐观。安全研究人员使用最为常规的工具就可...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7设置SWAP分区,小内存服务器的救世主
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- CentOS6,CentOS7官方镜像安装Oracle11G
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2全家桶,快速入门学习开发网站教程
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS8编译安装MySQL8.0.19