新闻快讯
< >

伊朗黑客组织Chafer攻击供应链,大面积监控随时发生

E安全3月6日讯 赛门铁克2018年2月28日发布报告披露,伊朗黑客组织 Chafe 使用包括 NSA 黑客工具在内的网络武器发起攻击。该组织日益活跃,2017年表现出了雄心勃勃的“斗志”。据披露,该组织与伊朗臭名昭著的 OilRig 组织存在关联,这两大组织共享命令与控制(C&C)服务器和感染方法。

Chafer发起供应链攻击 意图实施大规模监控

据推测,Chafer 2014年7月以前开始活跃,2015年被发现攻击中东的电信及航空公司。2017年该组织表现得尤为活跃,曾对中东9个新的目标组织机构发起攻击,覆盖以色列、约旦、阿联酋、沙特阿拉伯和土耳其的航空公司、飞机服务公司、为航空和海运运输行业提供服务的软件和IT服务公司、电信服务公司、薪酬服务、工程咨询和文件管理软件公司。

其中一家受害企业为中东一家大型电信服务提供商,其主要向中东多家电信运营商出售解决方案。研究人员表示,Chafer 意在瞄准攻击链,最终目的可能是为了监控电信运营商的终端客户。

赛门铁克的证据还表明,该组织曾试图攻击一家大型国际旅行预订公司,尽管没有迹象表明这起攻击成功得手,但 Chafer 仍成功渗透了这家国际旅行预定公司的客户:某非洲航空公司。

伊朗黑客组织Chafer“雄心勃勃” 意图实施大规模监控-E安全

瞄准中东以外的目标进一步证实了该组织雄心勃勃的“斗志”。Chafer 似乎主要侧重于监控和追踪目标,其大部分攻击的意图可能是收集目标信息或实施监控。

赛门铁克技术总监维克拉姆·萨库尔表示,Chafer 如今的目标相比三年前发生了变化。该组织过去主要攻击伊朗境内的目标,而如今,已将目标转向伊朗境外的其它目标。

感染方法和工具

在2015年的攻击中,Chafer 一直在攻击目标的 Web 服务器(可能借助了 SQL 注入攻击),从而将恶意软件释放到目标服务器上。

2017年该组织新增感染方法,可能通过鱼叉式网络钓鱼电子邮件传播 Excel 恶意文件感染目标组织机构的工作人员。打开恶意Excel文档会下载恶意 VBS 文件,该文件继而会运行 PowerShell 脚本。几小时之后,被感染电脑上会出现一个“释放器”(Dropper)以负责安装三个文件:信息窃取工具、屏幕捕获工具和一个空的可执行文件。

由于 Chafer 只在感染开始时使用该工具,因此可以判断屏幕捕获工具只用于最初的信息收集。信息窃取工具能窃取剪贴板的信息,截屏,记录击键并窃取文件和用户凭证。完成初步的部署之后,该组织通常会使用 PowerShell 下载更多工具,并开始在受害者的网络中移动。

伊朗黑客组织Chafer“雄心勃勃” 意图实施大规模监控-E安全

Chafer 2017年使用了7种新的黑客工具,推出了新的基础设施。Chafer 使用的工具包括 NSA SMB 黑客工具“永恒之蓝”。2017年席卷全球的勒索软件 WannaCry 和 NotPetya 均利用了该漏洞。

赛门铁克观察到,在最近几起攻击活动中,Chafer 使用的几款新工具中大多数为可免费获取的现成工具,如下:

Remcom: 一款开源PsExec替代工具。PsExec是一款在其它系统上执行进程的微软Sysinternals工具。

非吸附式服务管理器 (Non-sucking Service Manager,NSSM): 可将应用安装为一个 windows service,并开机自动运行;并在需要重启应用的情况下重启对应的windows服务。

自定义截屏和剪贴板捕获工具:

  • SMB hacking tools SMB黑客工具:可与其它工具结合入侵目标网络,包括永恒之蓝漏洞。

  • GNU HTTPTunnel: 一款开源工具,可在Linux电脑上创建双向HTTP隧道,允许在限制防火墙之外进行通信。

  • UltraVNC: 针对微软Windows的开源远程管理工具。

  • NBTScan: 一款在IP网络上扫描NetBIOS名称信息的免费工具。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。