偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

伊組織對美發(fā)起新一輪攻擊

安全
研究人員近期發(fā)現(xiàn)了APT34利用新工具集進行的網(wǎng)絡(luò)活動。根據(jù)此次發(fā)現(xiàn)的網(wǎng)絡(luò)釣魚文件,伊朗黑客組織將美國Westat員工或Westat提供服務(wù)的組織作為攻擊目標(biāo)。

研究人員近期發(fā)現(xiàn)了APT34利用新工具集進行的網(wǎng)絡(luò)活動。根據(jù)此次發(fā)現(xiàn)的網(wǎng)絡(luò)釣魚文件,伊朗黑客組織將美國Westat員工或Westat提供服務(wù)的組織作為攻擊目標(biāo)。Westat是一家美國公司,為美國政府機構(gòu)以及企業(yè),基金會以及州和地方政府提供研究服務(wù)。

APT34背景

APT34(也稱為OilRig或Helix Kitten)是由伊朗政府支持的網(wǎng)絡(luò)間諜組織,自2014年以來一直活躍。該組織的目標(biāo)多為國際組織,主要集中在中東地區(qū)。他們的目標(biāo)行業(yè)包括政府機構(gòu),金融服務(wù),能源和公共服務(wù),電信以及石油和天然氣。2019年4月,該組織信息被揭露,包括受害者數(shù)據(jù),黑客工具源代碼和APT34操作的數(shù)據(jù)(Web Shell和域信息)。

最近,F(xiàn)ireEye揭露了APT34進行的魚叉式網(wǎng)絡(luò)釣魚攻擊,兩次活動所使用的技術(shù)和工具相似,夠確定此次針對Westat的攻擊也是同一個組織所為。

初始攻擊

在2020年1月下旬發(fā)現(xiàn)了名為survey.xls的文件,該文件看起來像是針對Westat員工或Westat客戶量身定制的員工滿意度調(diào)查。最初電子表格是空白的,僅當(dāng)受害者啟用宏后調(diào)查表才會顯示給用戶,惡意VBA代碼開始執(zhí)行。

VBA將zip文件解壓到臨時文件夾中,提取“Client update.exe”可執(zhí)行文件并將其安裝到“C:UsersvalsClient update.exe”。“Client update.exe”是TONEDEAF惡意軟件修改版本,將其命名為TONEDEAF 2.0。最后,crtt函數(shù)創(chuàng)建計劃任務(wù)“CheckUpdate”。

提取的VBA代碼和功能與FireEye報告中分析的代碼相似:

此外還發(fā)現(xiàn)了一個類似的文件,名為“Employee satisfaction survey.xls”。

該文檔的“代碼頁”字段是阿語,可見阿語是文檔作者Microsoft Excel版本上安裝的首選語言:


TONEDEAF 2.0

“Client update.exe”看起來是一個全新的后門惡意軟件,進一步的檢查顯示它是一個修改版本。TONEDEAF后門通過HTTP與命令和控制服務(wù)器通信,接收和執(zhí)行命令。FireEye最近的報告中提到了該工具是APT34組織定制工具之一。

TONEDEAF 2.0與原始版本的目的相同,但是它有一個經(jīng)過改進的C2通信協(xié)議和代碼庫。與原來的TONEDEAF不同,TONEDEAF 2.0只包含shell執(zhí)行功能,不支持任何預(yù)定義的命令。它還包含了動態(tài)導(dǎo)入、字符串解碼和目標(biāo)欺騙等新方法。

在執(zhí)行時程序會檢查是否以“…”作為參數(shù)執(zhí)行,如果在沒有正確參數(shù),例如通過雙擊啟動它。它將向用戶顯示一個空白的窗口,使惡意軟件看起來像一個合法的應(yīng)用程序。


TONEDEAF 2.0還隱藏API,api名稱以及dll被存儲為字符串,在運行時按需解碼和解析。

C2通信

后門使用HTTP進行C2通信,具有自定義編碼和通信機制。后門發(fā)送的消息包含HTTP查詢參數(shù)“?ser=<6 digits>”作為標(biāo)識符。前三位是,后三位是。消息格式:

  • GET /dow?ser= 請求消息,用于從服務(wù)器獲取要執(zhí)行的命令。
  • POST /upl?ser== 回復(fù)命令消息,將執(zhí)行的命令結(jié)果發(fā)送到服務(wù)器。

在分析過程中C2處于活動狀態(tài),但不斷向請求回復(fù)403 Forbidden HTTP錯誤代碼。 C2可能正在過濾目標(biāo),分析中發(fā)送的client_id參數(shù)與目標(biāo)受害者參數(shù)不匹配。如果C2接受了ID,將使用和后門需要執(zhí)行的命令的編碼消息進行回復(fù)。


該惡意軟件將在命令前添加“ cmd U c”來執(zhí)行該命令,并使用POST回復(fù)消息將命令結(jié)果發(fā)送回C2。當(dāng)通過瀏覽器訪問C2時,該站點嘗試模仿

https://docs.microsoft.com/en-us/,由于CSS配置錯誤無法正確顯示 :

還發(fā)現(xiàn)最近已生成與C2域匹配的SSL證書:

表明攻擊者正在過渡到HTTPS通信,提高其OPSEC功能并避免檢測。

原始TONEDEAF痕跡

通過對更改和新增部分的分析,有足夠證據(jù)可將TONEDEAF 2.0與TONEDEAF聚類在一起。 雖然大部分代碼已被修改,但總體流程和功能相似。 C2通信不同,但仍然與TONEDEAF相似,例如對受害者和服務(wù)器使用三位數(shù)字標(biāo)識符。此外,兩種惡意軟件中都在Windows狀態(tài)欄中創(chuàng)建了一個通知圖標(biāo)。

VALUEVAULT 2.0

目前無法下載其他模塊,但是可以確認(rèn)活動中使用了VALUEVAULT。 它是Golang中內(nèi)置的瀏覽器憑證盜竊工具,是FireEye在分析APT34操作時發(fā)現(xiàn)的。用戶上傳的VALUEVAULT和TONEDEAF 2.0,與同一用戶上載到VirusTotal的Survey.xls文件僅相隔幾分鐘,表明這些惡意軟件屬于攻擊的一部分。

與以前的版本相比,此VALUEVAULT采用了更為簡化的方法,舍棄了許多功能和字符串, 現(xiàn)在僅支持Chrome密碼轉(zhuǎn)儲。

此外,VALUEVAULT 2.0是64位二進制文件,而VALUEVAULT 1.0是32位二進制文件。

總結(jié)

上個月APT34的最后一次操作是由FireEye揭露的,從目前的調(diào)查結(jié)果來看,本次針對美國公司的網(wǎng)絡(luò)攻擊行為也是該組織所為。對惡意軟件變種技術(shù)分析顯示,該組織已投入大量精力來升級其工具集,逃避檢測。

IOCs

  • manygoodnews[.]com
  • c10cd1c78c180ba657e3921ee9421b9abd5b965c4cdfaa94a58e383b45bb72ca
  • 4c323bc11982b95266732c01645c39618550e68f25c34f6d3d79288eae7d4378
  • a897164e3547f0ce3aaa476b0364a200769e8c07ce825bcfdc43939dd1314bb1
  • 20b3d046ed617b7336156a64a0550d416afdd80a2c32ce332be6bbfd4829832c
  • d61eecd7492dfa461344076a93fc2668dc28943724190faf3d9390f8403b6411

 

責(zé)任編輯:趙寧寧 來源: FreeBuf
相關(guān)推薦

2020-07-31 14:46:31

黑客攻擊航空航天

2009-07-15 09:19:45

2013-04-24 09:13:19

微軟隱私保護

2009-07-23 11:29:55

2015-07-13 15:55:26

互聯(lián)網(wǎng)

2025-02-05 10:00:00

2012-11-19 10:57:03

AMD重組裁員

2013-11-25 14:05:17

2009-04-21 13:44:17

微軟裁員重組

2011-06-13 16:36:15

黑客攻擊黑客企業(yè)安全

2013-01-15 14:13:05

UbuntuAndroid

2021-06-02 10:49:15

SolarWinds黑客釣魚活動

2018-01-12 15:14:08

大數(shù)據(jù)數(shù)據(jù)資源經(jīng)濟

2009-11-05 19:04:50

Windows 7微軟裁員

2009-01-11 10:44:12

希捷Seagate西部數(shù)據(jù)

2010-06-08 11:03:53

雅虎裁員

2011-03-24 11:25:19

Aruba平板

2013-01-14 11:15:53

云ERPERP云計算

2010-06-11 09:53:22

統(tǒng)一計算

2009-07-12 08:55:02

思科裁員
點贊
收藏

51CTO技術(shù)棧公眾號