伊朗黑客组织“金龟子”新增的武器库和攻击目标清单

翻译：360代码卫士团队

赛门铁克公司发布报告警告称，和伊朗存在关联的“金龟子 (Chafer)”黑客组织一直在扩大其在中东和其它地方的攻击范围并扩充其网络武器库。

去年，“金龟子”参与了一系列颇具野心的新型攻击。它攻击了中东地区大型电信公司并试图攻击一家大型的旅游预订企业。“金龟子”至少活跃于2014年7月，此前已有很多关于该组织的详情。“金龟子”主要是监控并追踪个人。

2017年期间，“金龟子”使用了7款新工具、推出新的基础设施并增加对位于以色列、约旦、阿联酋、沙特阿拉伯和土耳其的9家组织机构的攻击。目标行业包括航空和海运行业的航空公司、飞机服务公司、软件和IT服务公司、电信公司、薪资服务公司、工程咨询公司和文件管理软件公司。

“金龟子”还攻击了一家非洲航空公司并试图攻陷一家国际旅游预订公司。

去年，“金龟子”攻陷了一家位于中东地区的电信服务提供商，该公司向该地区的多家电信运营商出售解决方案。这次攻击事件可能导致攻击者针对大量终端用户实施监控行为。

2015年，“金龟子”可能通过 SQL 注入攻击了多家组织机构的 web 服务器。去年，它还开始使用通过鱼叉式钓鱼邮件发送的恶意文档释放恶意软件。这些恶意文档是携带恶意 VBS 文件的 EXCEL 表单，这些恶意文件运行PowerShell 脚本并执行受攻陷机器上的释放器。随后该释放器将安装信息窃取器、屏幕抓取工具以及一个空白的可执行文件。

屏幕抓取工具仅在初始的信息收集阶段发挥作用，信息窃取工具针对的是剪贴板内容、抓取截屏、记录按键并存储文件和用户凭证。接着，攻击者会将其它工具下载到受感染计算机中并在受害者网络中进行横向移动。

近来，“金龟子”还新增使用7款新型工具。赛门铁克指出其中多数工具是可免费获取的现成工具并被用于恶意目的。这些工具包括：

• Remcom：取代PsExec 的开源工具；

• NSSM (Non-sucking Service Manager)：取代 Windows Service Manager 的开源工具；

• 一款自定义截屏和剪贴板抓取工具；

• SMB 黑客工具，包括 “永恒之蓝”在内；

• GNU HTTPTunnel：用于在 Linux 计算机上创建双向 HTTP 隧道的一款开源工具；

• UltraVNC：适用于 Windows 的一款开源远程管理工具；

• NBTScan：扫描 IP 网查找 NetBIOS 名称信息的一款免费工具。

另外，“金龟子”还继续使用其它工具如自己研发的自定义后门 Remexi、PsExec、Mimikatz、Pwdump 和 Plink。

“金龟子”结合使用这些工具的目的显然是遍历目标网络。NSSM 近期用于实现攻击的可持续性并安装服务以运行 Plink。Plink 打开逆向 SSH 会话以获取对受攻陷计算机的 RDP 访问权限。之后，PsExec、Remcom 和 SMB 黑客工具用于横向运动。

“金龟子”近期使用的新型基础设施包括将域名 win7-updates[.]com 作为命令和服务地址以及多个 IP 地址，不过目前尚不清楚这些基础设施是租赁而来还是遭劫持。研究人员从“金龟子”使用的服务器中找到了很多工具的副本。

赛门铁克公司表示，“金龟子”的攻击活动和另外一个基于伊朗的网络间谍组织 Oilrig 之间存在某些关联。这两个组织都使用相同的 IP 地址作为命令和控制地址、使用了类似的感染向量，以及释放了指向同样拼写错误的文件地址的恶意 VBS 文件。

赛门铁克表示，虽然这表明“金龟子”和 Oilrig 之间可能是同一个组织，但并无足够证据支撑这一结论。更有可能的一种解释是，“这两个组织认识彼此而且享有对同一个共享资源库的访问权限”。

“金龟子”目前开展的攻击活动表明，它不仅持续保持高度活跃，而且在选择攻击目标方面变得越来越大胆。和其它针对性攻击组织一样，“金龟子”依靠免费可得的软件工具实施恶意活动，并转向耗时更长且更容易被发现的供应链攻击。

赛门铁克总结称，“这些攻击虽然更具风险，但回报更高。而且如果攻击成功实施，攻击者将获得访问大量潜在目标的权限。”

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。