伊朗Chafer APT组织攻击分析

栏目: IT技术 · 发布时间: 1个月前

来源: www.freebuf.com

内容简介:ChaferAPT组织隶属于伊朗,自2014年以来一直处于活跃状态,专注于网络间谍活动。 Bitdefender发现该组织2018年开始针对中东关键基础设施进行攻击,攻击中使用了多种工具、定制后门等。攻击主要针对航空运输和政府部门,攻击者多在周末进行攻击。在针对科威特的攻击中,攻击者创建了自己的用户帐户,针对沙特的攻击主要依靠社会工程学,两种攻击的最终目标都是窃取数据。

本文转载自:https://www.freebuf.com/articles/network/239296.html,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有。

ChaferAPT组织隶属于伊朗,自2014年以来一直处于活跃状态,专注于网络间谍活动。 Bitdefender发现该组织2018年开始针对中东关键基础设施进行攻击,攻击中使用了多种 工具 、定制后门等。

攻击主要针对航空运输和政府部门,攻击者多在周末进行攻击。在针对科威特的攻击中,攻击者创建了自己的用户帐户,针对沙特的攻击主要依靠社会工程学,两种攻击的最终目标都是窃取数据。

伊朗Chafer APT组织攻击分析

攻击链分析

科威特

最初发现了一些反向TCP文件和PowerShell命令,攻击者可能使用恶意文档攻击受害者,并利用鱼叉式电子邮件进行传播。攻击者会在目标上使用侦察工具进行网络扫描(“ xnet.exe”,“ shareo.exe”)和凭证收集(如“ mnl.exe”或“ mimi32.exe”)或其他功能工具,例如CrackMapExec(用于用户枚举,共享列表,凭据收集等)。这些工具可帮助攻击者在网络内部横向移动。

攻击者使用psexec或使用RDP协议进行远程服务安装,一旦攻击成功便开始安装自定义模块:经过修改的Plink(wehsvc.exe)以及后门( imjpuexa.exe)。攻击者会在受害者的计算机上创建用户,并使用该用户在网络内部执行恶意操作。

伊朗Chafer APT组织攻击分析

大多数活动发生在周五和周六,与中东的周末相吻合。 观察到以下顺序:在其中一台机器上部署修改后的PuTTY工具(“ wehsvc.exe”); 四天后在同一系统上创建一个特定用户; 除了上述工具外,在该用户下还发现了rdpwinst(rdp会话管理),Smartftp Password Decryptor(安装程序)和 Navicat Premium等。

攻击者通过代理工具(“ mfevtpse.exe”和“ mini.exe”)或后门与受害者保持通信,其中一次攻击时间线如下所示。

伊朗Chafer APT组织攻击分析

沙特阿拉伯攻击链

攻击者最初是通过社会工程学攻击目标。RAT组件位于%Download%文件夹中,RAT执行了两次,两次执行相隔三分钟,使用不同的名称(“ drivers.exe”和“ drivers_x64.exe”)。使用“ etblscanner.exe”进行内部网络侦察。另外还发现了三种不同的RAT组件,其中一个组件“ snmp.exe”也以“ imjpuexa.exe”出现在科威特的某些受害者身上,攻击时间线如下:

伊朗Chafer APT组织攻击分析

工具分析

攻击者使用“the Non-Sucking”服务管理器来确保其关键组件(例如代理或RAT)已启动运行。 他们还使用Sysinternals工具(例如psexec)在受害者网络中横向移动,使用“ schtasks.exe”确保持久性,“ tasklist”用于测试持久性,“ nslookup”用于DNS通信,查询TXT记录。

发现了不同阶段使用的黑客工具,如Mimikatz、SafetyKatz或定制工具。利用所获得的凭据与psexec工具获取对特定计算机的访问权。 一些受感染的系统还包含Metasploit框架的shellcode片段,例如reverse_tcp,连接到不同的内部IP地址。另一个工具CrackMapExec,具有网络扫描等功能;发现PLINK修改版本,它可以作为Windows服务运行或卸载;发现了一个用C++编写的命令行工具,可作为代理使用。

在攻击过程中还观察到Python(可能是3.4版)编写的RAT。该工具具有两种通信类型(“ DNS”和“ HTTP”),工具的文件名是“ snmp.exe”,“ imjpuexa.exe”和“ driver_x86.exe”,硬编码的标头可如下:

伊朗Chafer APT组织攻击分析

HTTP通信请求标头“ GET / owa HTTP / 1.1 \ r \ nHost:live.com”和响应标头“ HTTP / 1.1 200 OK”。

此攻击中使用的另一个命令行工具“ xnet.exe”,它与nbtscan工具非常相似,可从计算机上网络适配器获取要扫描的IP范围。 还观察到C#工具(“shareo.exe”),该工具可获得指定IP范围内每台计算机的NetBIOS名称。

发现名为“ mas.dll”的后门,此文件与“xnet.exe”之间存在联系:

“F:\Projects\94-06\RCE\bin\Release\x64\mas.pdb” – “mas.dll”
“F:\Projects\94-08\XNet\bin\Release\Win32\XNet.pdb”) – “xnet.exe”

MITRE matrix TTPs

持久化

T1050 “New Service”:

“wehsvc.exe” 创建 “imjpuexa.exe” 修改注册表 “HKLM\system\controlset001\services\microsoft updating\parameters\application”

T1053 “Scheduled Task”:

“MSCService.exe” 、“DBXService.exe”

T1136 “Create Account”:

创建用户

内网探测

T1016 “System Network Configuration Discovery”:

“xnet.exe”

C&C

T1090 “Connection Proxy”:

“mini.exe”、“mfevtpse.exe”、“mfevtps.exe”以及修改的Plink

防御检测

T1045 “Software packing”

“mfevtpse.exe”

T1036 “Masquerading”

“DBXService.exe”、 “MSCService.exe”

命令执行

T1059 “Command line interface”

凭证访问

T1003 “Credential Dumping”

Mimikatz

附录

伊朗Chafer APT组织攻击分析


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

关注码农网公众号

关注我们,获取更多IT资讯^_^


为你推荐:

相关软件推荐:

查看所有标签

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

降维攻击

降维攻击

高德 / 世界图书出版公司 / 2016-3-31 / 39.80元

本书优势: 第一,降维攻击是一个刚开始流行的商业概念,未来随着电影《三体》的上映,这个概念会更加流行,会成为一个全社会的讨论热点。推出这本书,正好借势营销,是一个热点窗口,同时这个概念的商业价值,又符合了时下市场的需求。 第二,这本书的案例和分析,立足于本土,因为降维攻击的思维,很好地表现了国内许多互联网企业崛起的过程,百度,阿里、腾讯、京东等电商的崛起历程都充满了降维的智慧,对于目前......一起来看看 《降维攻击》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

MD5 加密
MD5 加密

MD5 加密工具

html转js在线工具
html转js在线工具

html转js在线工具