位置: 主页 > 财经报道 > 产业动向 > 正文
“人面马”(APT34)组织对中东地区进行攻击的最新动向通报
来源:中国企业新闻网       时间:2018-01-24 11:31
人面马组织(T-APT-05),又称APT34、Oilrig、Cobalt Gypsy,是一个来自于伊朗的APT组织。该组织自2014年开始活动,主要攻击目标在中东地区,对政府、金融、能源、电信等各行业都进行过攻
  “人面马”组织(T-APT-05),又称APT34、Oilrig、Cobalt Gypsy,是一个来自于伊朗的APT组织。该组织自2014年开始活动,主要攻击目标在中东地区,对政府、金融、能源、电信等各行业都进行过攻击。
 
  该组织最近一次的活动由FireEye在2017年12月7日进行了披露。但是腾讯御见威胁情报中心发现,该组织在FireEye披露后,不但未停手,反而更加“肆无忌惮”,自那后又进行了多次的攻击活动。这也表明,APT攻击不会因为被曝光而停止,即使被曝光后某些技术手段失效,但是只要被攻击目标存在价值,攻击组织的行动依然持续。
 
  同时可以发现,该组织的攻击武器库一直在不断地进行升级,攻击手法也越来越高明,从最初的容易检出的样本到发展到今天杀毒软件极难检测的脚本木马及jar版木马。chm文件藏毒、word藏毒、漏洞利用、钓鱼攻击、dns tunneling技术等手段也是无所不用其极。
 
  “人面马”组织最近几次主要攻击活动回顾:
 
  时间点 诱饵 技术特点 C2 2018.1.14 假订单文档 Risk.DOCXWord文档中藏js脚本、 Jar木马、Adwind Rat gorevleriyok.com 2018.1.2 _2_ ???? ?????? ???? ?????.???????.chm (巴林王国会议记录) Chm藏毒、dns tunneling技术、powershell后门脚本 window5.win 185.181.8.246 2018.1.1 假订单钓鱼邮件,附件名为Liste_314.DOCX等 word文档中藏jar、Adwind Rat gorevleriyok.com 2017.12.21 假订单钓鱼邮件,附件名为Purchase Order.doc等 利用word宏下载c#版tesla木马,木马下载页目前仍有效 kemmetal@zoho.com rocketsky@zoho.com emperor_textile@zoho.com stevehoppe@zoho.com 2017.12.7 钓鱼邮件 CVE-2017-11882、CVE-2017-0199 mumbai-m.site 46.105.221.247 二、 载荷投递
 
  “人面马”(APT34)组织主要使用鱼叉钓鱼进行攻击,诱饵文件主要为office文档、chm等。内容包括订单信息、政治敏感内容等。技术手段包括office漏洞、宏、内嵌恶意脚本、DDEAuto、恶意OLE对象等。
 
  以最后一次活动的诱饵文件为例进行分析,该攻击未使用漏洞,而是利用社会工程学的方式,将两个java恶意脚本藏在带有“订单”字眼的word文档中。一旦双击文档中的“订单列表”,js脚本就会运行起来,之后名为“Adwind Rat”的 jar远控木马就会被下载并执行。
 

责任编辑:小七

【字号 】 【打印】 【关闭
  
Copyright(C) 2006-2013 CHINAENN.COM All Rights Reserved
   投稿邮箱:chinacenn@163.com  咨询QQ:137184775 
  京公网安备11010602130012号   京ICP备13042652号-4