赛门铁克2018年2月28日发布报告披露,伊朗黑客组织 Chafe 使用包括 NSA 黑客工具在内的网络武器发起攻击。该组织日益活跃,2017年表现出了雄心勃勃的“斗志”。据披露,该组织与伊朗臭名昭著的 OilRig 组织存在关联,这两大组织共享命令与控制(C&C)服务器和感染方法。
Chafer发起供应链攻击 意图实施大规模监控
据推测,Chafer 2014年7月以前开始活跃,2015年被发现攻击中东的电信及航空公司。2017年该组织表现得尤为活跃,曾对中东9个新的目标组织机构发起攻击,覆盖以色列、约旦、阿联酋、沙特阿拉伯和土耳其的航空公司、飞机服务公司、为航空和海运运输行业提供服务的软件和 IT 服务公司、电信服务公司、薪酬服务、工程咨询和文件管理软件公司。
其中一家受害企业为中东一家大型电信服务提供商,其主要向中东多家电信运营商出售解决方案。研究人员表示,Chafer 意在瞄准攻击链,最终目的可能是为了监控电信运营商的终端客户。
赛门铁克的证据还表明,该组织曾试图攻击一家大型国际旅行预订公司,尽管没有迹象表明这起攻击成功得手,但 Chafer 仍成功渗透了这家国际旅行预定公司的客户:某非洲航空公司。
瞄准中东以外的目标进一步证实了该组织雄心勃勃的“斗志”。Chafer 似乎主要侧重于监控和追踪目标,其大部分攻击的意图可能是收集目标信息或实施监控。
赛门铁克技术总监维克拉姆·萨库尔表示,Chafer 如今的目标相比三年前发生了变化。该组织过去主要攻击伊朗境内的目标,而如今,已将目标转向伊朗境外的其它目标。
感染方法和工具
在2015年的攻击中,Chafer 一直在攻击目标的 Web 服务器(可能借助了 SQL 注入攻击),从而将恶意软件释放到目标服务器上。
2017年该组织新增感染方法,可以通过鱼叉式网络钓鱼电子邮件传播 Excel 恶意文件感染目标组织机构的工作人员。打开恶意Excel文档会下载恶意 VBS 文件,该文件继而会运行 PowerShell 脚本。几小时之后,被感染电脑上会出现一个“释放器”(Dropper)以负责安装三个文件:信息窃取工具、屏幕捕获工具和一个空的可执行文件。
由于 Chafer 只在感染开始时使用该工具,因此可以判断屏幕捕获工具只用于最初的信息收集。信息窃取工具能窃取剪贴板的信息,截屏,记录击键并窃取文件和用户凭证。完成初步的部署之后,该组织通常会使用 PowerShell 下载更多工具,并开始在受害者的网络中移动。
Chafer 2017年使用了7种新的黑客工具,推出了新的基础设施。Chafer 使用的工具包括 NSA SMB 黑客工具“永恒之蓝”。2017年席卷全球的勒索软件 WannaCry 和 NotPetya 均利用了该漏洞。
赛门铁克观察到,在最近几起攻击活动中,Chafer 使用的几款新工具中大多数为可免费获取的现成工具,如下:
Remcom: 一款开源 PsExec 替代工具。PsExec 是一款在其它系统上执行进程的微软 Sysinternals 工具。
非吸附式服务管理器 (Non-sucking Service Manager,NSSM):可将应用安装为一个 windows service,并开机自动运行;并在需要重启应用的情况下重启对应的 windows 服务。
自定义截屏和剪贴板捕获工具:
SMB hacking tools SMB 黑客工具:可与其它工具结合入侵目标网络,包括永恒之蓝漏洞。
GNU HTTPTunnel:一款开源工具,可在 Linux 电脑上创建双向 HTTP 隧道,允许在限制防火墙之外进行通信。
UltraVNC:针对微软 Windows 的开源远程管理工具。
NBTScan:一款在IP网络上扫描 NetBIOS 名称信息的免费工具。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
