抢先看|微软拿下99个APT 35 域名；APT33 和 Lazarus 攻击动态

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士团队

分享三条关于国家黑客的资讯。

微软通过法庭判令的方式控制被伊朗国家黑客组织 APT35所有且运营的99个 web 域名。这些域名被用于攻击美国及其它国家的鱼叉式钓鱼攻击活动中。APT 35 注册这些域名时融合了著名品牌的名称，如微软、雅虎。这些域名的目的是收集用户的登录凭证。虽然这种技术老旧但仍然不妨碍它成为迄今为止诱骗用户暴露用户名和密码的极其成功的方法。

这些域名包括 outlook-verify.net、yahoo-verify.net、verification-live.com 和 myaccount-services.net等。微软表示拿下这些域名获得了域名注册商的大力支持。微软去年以来都在通过法庭判令的方式对抗黑客组织。

赛门铁克发布报告指出，被指和伊朗存在关联的黑客组织 Elfin 或 APT 33 继续攻击沙特阿拉伯和美国。赛门铁克自从2016年年初开始监控其活动，该组织针对位于中东等地区的政府、研究、化工、工程、咨询、金融、制造和通信组织机构发动攻击。

赛门铁克表示18个美国机构遭攻击，其中不乏财富500强公司。APT33在攻击中使用了现成的和自定义的恶意软件如 Notestuk、Stonedrill 和 AutoIt 语言编写的一个后门。使用的商品恶意软件包括 Remcos、DarkComet、Quasar RAT、Pupy RAT、NanoCore 和 NetWeird。该组织还使用了多款公开可用的黑客工具如 Mimikatz、SniffPass、LaZagne 和 Gppassword。APT33 上个月发动攻击时使用了最近披露的 WinRAR 漏洞 CVE-2018-20250。

卡巴斯基实验室发布报告称，被指和朝鲜存在关联的 Lazarus 黑客组织正在利用 PowerShell 攻击 Windows 和 macOS 设备。该攻击最晚可追溯至2018年11月。Lazarus 黑客组织去年曾针对密币交易所发动多起攻击，包括使用了 Fallchill 恶意软件的 AppleJeus 行动。

该黑客组织将自定义 PowerShell 脚本伪装成 WordPress 文件或其它流行项目的资源，和恶意命令和控制服务器通信并执行命令。连接服务器后，恶意软件能够设置睡眠时间、退出、收集基本的主机信息、检查状态、显示当前恶意软件配置、更新配置、执行系统 shell 命令并下载/上传文件。

Lazarus 黑客组织在攻击活动中使用了受攻陷以及购买的服务器，包括购买中国和欧盟的服务器托管 macOS 和 Windows 有效负载。他们租服务器的目的是为了托管恶意软件，同时将 C&C 脚本放在遭攻陷的服务器上。

卡巴斯基表示，该组织再次针对密币公司发动攻击，尤其是位于韩国的这类机构。同时该组织构建自己的 macOS 恶意软件，其功能和此前的样本类似。

原文链接

https://www.securityweek.com/north-korea-linked-hackers-target-macos-users

https://www.securityweek.com/iran-linked-cyberspy-group-apt33-continues-attacks-saudi-arabia-us

https://www.zdnet.com/article/microsoft-takes-control-of-99-domains-operated-by-iranian-state-hackers/

本文由代码卫士编译，不代表其观点，转载请注明“转自代码卫士 www.codesafe.cn”。