首页
论坛
专栏
课程

伊朗黑客组织APT33在美国建立了特殊VPN节点专用网络攻击高价值目标

红数位 发布于 红数位 2019-11-15 15:03

伊朗的一项由国家资助的精英黑客组织之一已经建立并一直在运营自己的VPN节点专用网络,他们已将其用于连接到黑客基础设施,对未来目标进行侦察甚至是随意的网络浏览,今天由网络安全公司趋势科技(Trend Micro)提供。



该组织以代码APT33在网络安全圈中追踪,是迄今为止伊朗最复杂的黑客部门。


他们是开发出名为Shamoon(DistTrack)的磁盘擦除恶意软件的人,该恶意软件在2012年摧毁了沙特阿拉伯的Saudi Aramco超过35,000个工作站。


最近,该组织重新发动了新的攻击,主要针对石油和航空业,甚至在去年年底部署了新版本的Shamoon恶意软件。


在2019年,APT33操作依赖于经典的鱼叉式钓鱼操作,有时还依赖于使用巧妙的Outlook漏洞。


根据趋势科技(Per Trend Micro),2019年确认的APT33感染包括一家提供与国家安全相关的服务的美国私人公司,与美国一所大学和一所大学有关的受害者,最有可能与美国军方有关的受害者以及中部的几名受害者东方和亚洲。


追踪APT33的基础架构

但是研究人员说,在调查这些黑客时,他们能够深入了解APT33如何管理其黑客基础结构。


根据研究人员的说法,一切都是分层和隔离的,以使APT33操作员处于事件响应者保密的秘密之下。


根据趋势科技研究人员共享的手绘模式,APT33操作员与其目标之间有四层。


VPN层 -VPN节点的定制网络,以隐藏运营商的真实IP地址和位置

Bot控制器层 -服务器的中间层

C&C后端层 -组通过其管理恶意软件僵尸网络的实际后端服务器

代理层 -云代理服务器的集合,C&C(命令和控制)服务器可通过这些代理服务器对受感染的主机隐藏




但是,对研究人员突出的事实是,APT33并未使用商业VPN服务器来隐藏其位置,就像某些黑客组织倾向于这样做那样。



相反,该小组已经建立并正在运营自己的专用VPN网络。


研究人员说:“通过从世界各地的数据中心租用几台服务器,并使用像OpenVPN这样的开源软件,可以很容易地建立专用VPN。”


APT33的自定义VPN网络是一个大错误

但是APT33不知道的是,实际上,这使它们更易于跟踪。研究人员只需要留意几个IP地址即可。如果APT33使用了商业VPN提供商的网络,那么它们将无缝地融合到所有其他合法流量中。


趋势科技表示:“ APT33可能仅使用其VPN出口节点。” “我们已经跟踪了该组织的一些专用VPN出口节点超过一年,并且在下表中列出了已知的关联IP地址。”




但是,除了连接到其恶意软件僵尸网络控制面板之外,趋势科技表示,该组织还使用了相同的专用VPN出口节点,“用于侦查与石油行业供应链相关的网络”。


研究人员说:“更具体地说,我们目睹了表3中的某些IP地址在中东一家石油勘探公司和军事医院以及美国一家石油公司的网络上进行侦察。”



趋势科技的团队说:“APT33也对专门招募石油和天然气行业雇员的网站有明显的兴趣。” “我们建议石油和天然气行业的公司将其安全日志文件与上面列出的IP地址进行交叉关联。”


此外,趋势科技表示,APT33还使用其专用VPN网络访问渗透测试公司的网站,网络邮件,漏洞网站和加密货币黑客网站。


CC


DomainCreatedsuncocity.com5/31/16zandelshop.com6/1/16simsoshop.com6/2/16zeverco.com6/5/16qualitweb.com6/6/16service-explorer.com3/3/17service-norton.com3/6/17service-eset.com3/6/17service-essential.com3/7/17update-symantec.com3/12/17


IP addressFirst seenLast seen5.135.120.5712/4/181/24/195.135.199.253/3/193/3/1931.7.62.489/26/189/29/1851.77.11.467/1/197/2/1954.36.73.1087/22/1910/05/1954.37.48.17210/22/1911/05/1954.38.124.15010/28/1811/17/1888.150.221.1079/26/1911/07/1991.134.203.599/26/1812/4/18109.169.89.10312/2/1812/14/18109.200.24.11411/19/1812/25/18137.74.80.2209/29/1810/23/18137.74.157.8412/18/1810/21/19185.122.56.2329/29/1811/4/18185.125.204.5710/25/181/14/19185.175.138.1731/19/191/22/19188.165.119.13810/8/1811/19/18193.70.71.1123/7/193/17/19195.154.41.721/13/191/20/19213.32.113.1596/30/199/16/19216.244.93.13712/10/1812/21/18


File nameSHA256Detection NameMsdUpdate.exee954ff741baebb173ba45fbcfdea7499d00d8cfa2933b69f6cc0970b294f9ffdTrojan.Win32.NYMERIA.MLRMsdUpdate.exeb58a2ef01af65d32ca4ba555bd72931dc68728e6d96d8808afca029b4c75d31eTrojan.Win32.SCAR.ABMsdUpdate.exea67461a0c14fc1528ad83b9bd874f53b7616cfed99656442fb4d9cdd7d09e449Trojan.Win32.SCAR.ACMsdUpdate.exec303454efb21c0bf0df6fb6c2a14e401efeb57c1c574f63cdae74ef74a3b01f2Trojan.Win32.NYMERIA.MLW


参考:

https://blog.trendmicro.com/trendlabs-security-intelligence/more-than-a-dozen-obfuscated-apt33-botnets-used-for-extreme-narrow-targeting/


微信搜索关注红数位

混迹安全圈,每日必看!



分享到:
最新评论 (0)
登录后即可评论