安全動(dòng)態(tài)

APT33同時(shí)利用多個(gè)僵尸網(wǎng)絡(luò)攻擊目標(biāo)

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-12-12    瀏覽次數(shù):
 

信息來源:FreeBuf

APT33常以石油和航空業(yè)為攻擊目標(biāo),最近的調(diào)查結(jié)果顯示,該組織一直在使用大約12臺(tái)經(jīng)過多重混淆的C&C服務(wù)器來攻擊特定目標(biāo)。該組織主要在中東、美國和亞洲地區(qū)開展的針對(duì)性極強(qiáng)的惡意攻擊活動(dòng)。

每一個(gè)僵尸網(wǎng)絡(luò)由12臺(tái)以上受感染的計(jì)算機(jī)組成,用來攻擊的惡意軟件只有基本的功能,包括下載和運(yùn)行其他惡意軟件。2019年的活躍感染者包括一家提供國家安全相關(guān)服務(wù)的美國私營公司、受害目標(biāo)包括美國大學(xué)、美國軍方以及中東和亞洲的幾名受害者。

在過去的幾年里,APT33變得更具有攻擊性。例如,兩年來該組織利用一位歐洲高級(jí)政治家(該國國防委員會(huì)成員)的私人網(wǎng)站,向石油產(chǎn)品供應(yīng)鏈公司發(fā)送魚叉式釣魚電子郵件。目標(biāo)包括供水設(shè)施,美國陸軍使用該設(shè)施為其一個(gè)軍事基地提供飲用水。

這些攻擊導(dǎo)致石油工業(yè)設(shè)施收到感染。例如,在2018秋季發(fā)現(xiàn)英國的石油公司服務(wù)器與APT33C&C服務(wù)器之間的通信。另一家歐洲石油公司在2018年11月和12月服務(wù)器上遭受了至少3周的與APT33相關(guān)的惡意軟件感染。在石油供應(yīng)鏈中,還有其他幾家公司也在2018年秋季受到攻擊。

上表中的前兩個(gè)電子郵件地址(以.com和.aero結(jié)尾)是假冒地址,但是,以.ga結(jié)尾的地址來自攻擊者自己。這些地址都是在冒充知名航空和油氣公司。

除了APT33對(duì)石油產(chǎn)品供應(yīng)鏈的攻擊外,該組織使用了多個(gè)C&C來構(gòu)建小型僵尸網(wǎng)絡(luò)。

APT33攻擊十分小心,追蹤也更加困難。C&C托管在云服務(wù)器上,這些代理將受感染的機(jī)器URL請(qǐng)求轉(zhuǎn)發(fā)到共享Web服務(wù)器,這些服務(wù)器可以承載數(shù)千個(gè)合法域,后端將數(shù)據(jù)發(fā)送到專用IP地址上的聚合節(jié)點(diǎn)和控制服務(wù)器。APT33利用不同的節(jié)點(diǎn)及變換規(guī)則來組成私人vpn網(wǎng)絡(luò),利用不同的連接來收集受感染機(jī)器的信息。

2019年秋統(tǒng)計(jì)了10臺(tái)實(shí)時(shí)數(shù)據(jù)聚合節(jié)點(diǎn)和控制服務(wù)器數(shù)據(jù),并對(duì)其中幾個(gè)服務(wù)器進(jìn)行了數(shù)月的跟蹤。這些聚合節(jié)點(diǎn)從很少的C&C服務(wù)器(只有1個(gè)或2個(gè))獲取數(shù)據(jù),每個(gè)C&C最多有12個(gè)受害者。下表列出了一些仍然存在的C&C。

在管理C&C服務(wù)器和進(jìn)行偵察時(shí),攻擊者經(jīng)常使用商業(yè)VPN服務(wù)來隱藏他們的行蹤,還經(jīng)??吹焦粽呤褂盟麄?yōu)樽约涸O(shè)置的私有VPN網(wǎng)絡(luò)。

通過從世界各地?cái)?shù)據(jù)中心租用服務(wù)器,并使用open VPN等開源軟件,可以輕松地建立私有VPN。盡管私有VPN網(wǎng)絡(luò)連接來自世界各地不相關(guān)的IP地址,但這種流量實(shí)際上更容易跟蹤。一旦我們知道退出節(jié)點(diǎn)主要由特定的攻擊者使用,可以對(duì)退出節(jié)點(diǎn)的IP地址歸屬地進(jìn)行查詢。

已知相關(guān)IP地址如下:

這些私人VPN出口節(jié)點(diǎn)也用于偵察與石油供應(yīng)鏈有關(guān)的網(wǎng)絡(luò),攻擊者利用表3中的一些IP地址在中東石油勘探公司和軍事醫(yī)院以及美國石油公司網(wǎng)絡(luò)上進(jìn)行偵察。

APT33使用其專用VPN網(wǎng)絡(luò)訪問滲透測(cè)試公司的網(wǎng)站、網(wǎng)絡(luò)郵件、漏洞網(wǎng)站和與加密貨幣相關(guān)的網(wǎng)站,以及閱讀黑客博客和論壇。建議石油和天然氣行業(yè)的公司將其安全日志文件與上面列出的IP地址交叉關(guān)聯(lián)。

安全建議

石油、天然氣、水和電力設(shè)施的不斷現(xiàn)代化,保障這些設(shè)施更加困難。以下是這些組織可以采用的一些做法:

1、為所有系統(tǒng)建立定期修補(bǔ)和更新策略。盡快下載補(bǔ)丁程序,防止網(wǎng)絡(luò)罪犯利用這些安全漏洞。

2、提高員工對(duì)網(wǎng)絡(luò)罪犯使用的最新攻擊技術(shù)的認(rèn)識(shí)。

3、IT管理員應(yīng)應(yīng)用最小權(quán)限原則,以便更輕松地監(jiān)視入站和出站流量。

4、安裝多層保護(hù)系統(tǒng),可以檢測(cè)并阻止從網(wǎng)關(guān)到端點(diǎn)的惡意入侵。

 
 

上一篇:新型惡意程序 Snatch 曝光:進(jìn)入安全模式加密數(shù)據(jù)向受害者勒索比特幣

下一篇:2019年12月12日 聚銘安全速遞