天创培训:您身边的信息安全培训专家!
行业动态
赛门铁克:伊朗黑客组织Chafer正扩充武器库、扩大攻击范围

  赛门铁克:伊朗黑客组织Chafer正扩充武器库、扩大攻击范围

  网络安全领域全球领先的解决方案提供商赛门铁克(Symantec)在本周三发表的一篇博客文章中警告说,总部位于伊朗、名为“Chafer”的黑客组织一直在扩大其在中东及??其他地区国家的攻击目标列表,并在其网络武器库中增加新工具。

  在2017年,该组织发起了一系列恶意攻击活动,包括袭击了中东的一家大型电信服务提供商。该公司的主要业务之一是向该地区的多家电信运营商提供销售解决方案,成功入侵将允许Chafer能够对大量最终用户进行监视。

  赛门铁克指出,至少从2014年7月开始,Chafer就一直处于活跃状态。在2015年12月,赛门铁克首次公开披露了与该组织有关的恶意攻击活动。赛门铁克表示,Chafer在当时主要通过使用定制的后门来瞄准位于伊朗和中东地区国家(如阿富汗和沙特阿拉伯的个人和企业,特别是航空公司和电信公司。

  在2017年这一年里,该组织使用了七种新工具,CISP培训推出了新的基础设施,并在以色列、约旦、阿拉伯联合酋长国、沙特阿拉伯和土耳其创建了九个新的分部。目标包括服务航空和海运部门的航空公司、航空服务公司、软件和IT服务公司、电信公司、薪资服务公司、工程咨询公司和文件管理软件公司。

  在中东地区之外,赛门铁克还发现了Chafer袭击一家非洲航空公司、并企图攻击一家国际旅行公司的证据。

  从2015年发起的早期攻击活动来看,Chafer主要通过SQL注入来攻击企业的Web服务器,并上传恶意软件。而到了2017年,该组织在其武器库中增加了一种新的感染方法,它开始通过入侵目标组织的员工个人电子邮箱来进行恶意软件的传播。

  攻击中所使用的诱饵文件通常是带有恶意VBS文件的Excel电子表格,该恶意VBS文件将运行PowerShell脚本来在目标计算机上执行删除程序。在几个小时后,目标计算机上将出现一个滴管组件,用以安装三个文件:一个信息窃取程序、一个屏幕捕捉程序和一个空的可执行文件。

  屏幕捕捉程序似乎用于初始信息收集,因为它只会在每次感染开始时短暂使用,而在之后并不会再次被看到。信息窃取程序则能够窃取剪贴板的内容、截取屏幕截图、记录击键以及窃取文件和用户凭证。在这个初始活动之后,攻击者通常会使用PowerShell下载器将更多工具下载到计算机中,并试图在受害者的网络中进行横向移动以找到更多的目标。

  回到文章开头提到的新工具和新的基础设施,除了已知的恶意软件之外,Chafer已经开始了7种新工具的使用。赛门铁克还指出,在这些工具中大多数都是免费被提供的。新工具包括:

  Remcom: PsExec的开源替代品,用于在其他系统上执行进程的Microsoft Sysinternals工具;

  Non-sucking Service Manager (NSSM): CISP培训Windows服务管理器的开源替代品,可用于安装和删除服务,并在服务崩溃时重新启动服务;

  自定义屏幕截图和剪贴板捕获工具;

  SMB hacking tools: 与其他工具一起使用来遍历目标网络。这些工具包括“EternalBlue(永恒之蓝)”漏洞(之前由WannaCry和Petya使用);

  GNU HTTPTunnel: 一种可在Linux计算机上创建双向HTTP隧道的开源工具,可能允许超出限制性防火墙的通信;

  UltraVNC: 用于Microsoft Windows的开源远程管理工具;

  NBTScan: 用于扫描IP网络以获取NetBIOS名称信息的免费工具。

  此外,该组织仍在继续使用诸如其自定义后门Remexi、PsExec、Mimikatz、Pwdump和Plink等工具。

  Chafer显然意图使用这些工具来协调有针对性的网络。例如,该组织最近采用了NSSM来维护持久性,并安装在受感染计算机上运行Plink。然后使用Plink从Chafer的服务器向受害者计算机上的RDP端口打开反向SSH会话,其目的显然是为了能够使用RDP来访问受感染的计算机。一旦建立了立足点,Chafer就可以使用PsExec、Remcom和SMB hacking tools在受害者的网络中横向移动。

  另一方面,Chafer已经开始使用新的基础设施,这些新域名被嵌入在滴管组件中。CISP培训赛门铁克在Chafer曾使用过的一个临时服务器中发现了大量工具副本,Chafer甚至没有隐瞒他们的活动并将这些工具副本保存到桌面上,并且没有对它们进行重命名。

  据赛门铁克介绍,Chafer所发起的恶意攻击活动与另一个名为Crambus(又名Oilrig)的黑客组织存在关联。这是另一个被认为与伊朗存在关联的黑客组织,主要开展网络间谍活动。

  两者似乎都使用相同的IP地址作为命令和控制(C&C)服务器地址,并使用类似的感染媒介,即带有恶意VBS文件的Excel电子表格。两个VBS文件都引用了相同的文件路径,其中包含相同的拼写错误。

  Chafer最近的活动不仅表明该组织仍然非常活跃,而且在选择攻击目标方面变得更加大胆。与其他有针对性的黑客组织类似,它遵循了全球目标攻击组织中的两种趋势:第一种趋势是更多地依赖免费提供的软件工具;第二种趋势是对供应链的攻击,先攻击一个目标,在成功后将目标的客户作为目标,然后继续扩展下去。这种攻击了性需要更多的“步骤”才能达到其最终目标,这为攻击者实现目标增加了额外的时间和风险。然而,如果成功,攻击者便可以获得大量的潜在目标。