歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

深入分析Spark后門的多個版本,逐步揭秘Molerats惡意組織活動軌跡

來源:本站整理 作者:佚名 時間:2020-03-10 TAG: 我要投稿

一、摘要
2019年10月至12月期間,Unit 42團隊觀察到多次網絡釣魚攻擊活動,這些攻擊可能與名為Molerats的威脅組織(又名Galer Hackers Team或Gaza Cybergang)有關,攻擊活動針對位于六個不同國家的八個組織,這些組織涉及政府、電信、保險和零售業,其中的后兩個行業非常值得關注。此次攻擊者針對保險和零售業的攻擊目標是非常獨特的,不符合該惡意組織此前一貫攻擊的目標范圍。在針對這些特殊的目標發起攻擊時,惡意組織所使用的電子郵件和附件文件名稱與攻擊政府組織時使用的標題類似。由于攻擊者沒有針對特定行業或目標而定制社會工程學標題,因此可能會降低成功攻擊的概率,并進一步迷惑研究人員關于為何要攻擊這些組織的分析過程。
所有這些攻擊都涉及到魚叉式網絡釣魚電子郵件,以傳遞惡意文檔,這些惡意文檔要求收件人執行某些操作。其中,使用到的社會工程學技術包括誘導圖像,試圖誘導用戶手動啟用宏。除此之外,在文檔內容中甚至還包含了存在威脅的圖片,誘導用戶單擊鏈接以下載惡意Payload。在攻擊活動中,所使用的Payload大多數一個被稱為Spark的后門,該后門可以在受感染的系統上打開特定應用程序并運行命令行中的命令。
至少從2017年開始,Molerats就開始使用了Spark后門,并且該惡意組織與針對加沙地區的惡意活動“Operation Parliament”有關聯,因此我們將其歸為Gaza Cybergang惡意組織。我們發現,該惡意組織在攻擊中曾使用過與JhoneRAT相關的Payload,這表明該惡意組織可能已經在其工具集中添加了另一個自定義的Payload。
Molerats早在2011年就針對全球政府組織發動攻擊,其攻擊行為主要是與未授權訪問、敏感數據收集相關。研究人員觀察到該惡意組織使用了一系列策略和技術,包括利用可公開獲取的后門工具(例如:PoisonIvy和XtremeRAT)來創建定制開發的產品(例如:KASPERAGENT和MICROPSIA)。在我們跟蹤的惡意活動中,該惡意組織主要依靠社會工程學和魚叉式網絡釣魚技術作為其初始感染沒接,然后依靠多層命令和控制(C2)服務器來分發惡意軟件。
由于Molerats使用了包括使用密碼保護投遞的文檔、只能在使用阿拉伯語輸入法和語言環境的系統上運行、使用商業加殼工具Enigma混淆Payload等多種技術,這使得檢測和分析過程變得困難。Spark的C2通道同樣采取了技術手段逃避檢測,其HTTP POST請求和響應中的數據使用了3DES或AES的加密方式,并且使用了隨機生成的密鑰,這些密鑰對于每個Payload而言都是唯一的。
二、發現威脅
2019年11月,Unit 42發現一封針對沙特阿拉伯政府組織的網絡釣魚電子郵件。該攻擊中使用了帶有密碼保護的Microsoft Word文檔,其中包含嵌入式宏。該文檔的密碼已經在電子郵件正文中提供給潛在受害者。
利用我們的AutoFocus工具,我們發現了從2019年10月2日到2019年12月9日期間攻擊者開展的多次攻擊。這些電子郵件都是發送到政府和電信行業的組織中,并且使用了特定和通用的電子郵件主題和附件文件名。我們還看到在此次攻擊中涉及兩個美國的組織,一個屬于零售業,另一個屬于保險業。
這些電子郵件所附帶的附件都是文檔,其中大多數是Word文檔,也包含一個PDF文檔。下面列舉出了此次攻擊活動中攻擊者所使用的惡意電子郵件的詳情,包括詳細信息及目標信息。在本文中,我們將分析下表所列出的7封惡意郵件中的3封,因為其中文件名帶有MOFA的四個惡意文件之間非常相似。最后的一個惡意文件(Urgent.docx)在Cisco Talos此前對一種名為JhoneRAT的新型Payload的研究中進行過詳細分析,這可能表明該惡意組織在此次攻擊活動中也使用了JhoneRAT。
在攻擊活動中發現的魚叉式網絡釣魚電子郵件的詳情:
日期:2019-10-2
標題:MOFA reports 03-10-2019
附件:MOFA- 031019.doc
SHA-256:d19104ef4f443e8..
國家:阿聯酋
行業:政府
日期:2019-10-3
標題:03-10-2019
附件:MOFA- 031019.doc
SHA-256:d19104ef4f443e8..
國家:英國、西班牙
行業:政府
日期:2019-10-5
標題:06-10-2019
附件:MOFA- 061019.doc
SHA-256:03be1d7e1071b01..
國家:阿聯酋
行業:政府
日期:2019-10-10
標題:MOFA Reports
附件:MOFA- 101019.doc
SHA-256:011ba7f9b4c508f..,ddf938508618ff7..
國家:美國
行業:保險、零售
日期:2019-10-31
標題:لعناية معاليكم – المرفق 31-10-2019
附件:attachment.doc
SHA-256:eaf2ba0d78c0fda..
國家:吉布提
行業:電信
日期:2019-11-2
標題:لعناية معاليكم – المرفق 31-10-2019
附件:attachment.doc
SHA-256:eaf2ba0d78c0fda..
國家:吉布提
行業:電信
日期:2019-11-18
標題:صورك
附件:Pictures.pdf
SHA-256:9d6ce7c585609b8..
國家:西班牙
行業:政府
日期:2019-11-24
標題:مخطط الجهاد الاسلامي لمباغتة اسرائيل وضرب التهدئة
附件:Urgent.docx
SHA-256:273aa20c4857d98..
國家:吉布提
行業:電信
日期:2019-12-9
標題:محضر اجتماع قيادة المخابرات العامة مع وفد حركة حماس 09-12-2019

[1] [2] [3] [4] [5] [6] [7]  下一頁

【聲明】:黑吧安全網(http://www.www.hfjixin.com)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱admin@www.hfjixin.com,我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        百度 好搜 搜狗

        警告:本站禁止未滿18周歲訪客瀏覽,如果當地法律禁止請自覺離開本站!收藏本站:請使用Ctrl+D進行收藏