信息來(lái)源:FreeBuf
APT33常以石油和航空業(yè)為攻擊目標(biāo)��,最近的調(diào)查結(jié)果顯示��,該組織一直在使用大約12臺(tái)經(jīng)過多重混淆的C&C服務(wù)器來(lái)攻擊特定目標(biāo)。該組織主要在中東��、美國(guó)和亞洲地區(qū)開展的針對(duì)性極強(qiáng)的惡意攻擊活動(dòng)��。
每一個(gè)僵尸網(wǎng)絡(luò)由12臺(tái)以上受感染的計(jì)算機(jī)組成��,用來(lái)攻擊的惡意軟件只有基本的功能��,包括下載和運(yùn)行其他惡意軟件��。2019年的活躍感染者包括一家提供國(guó)家安全相關(guān)服務(wù)的美國(guó)私營(yíng)公司��、受害目標(biāo)包括美國(guó)大學(xué)��、美國(guó)軍方以及中東和亞洲的幾名受害者��。
在過去的幾年里��,APT33變得更具有攻擊性��。例如��,兩年來(lái)該組織利用一位歐洲高級(jí)政治家(該國(guó)國(guó)防委員會(huì)成員)的私人網(wǎng)站��,向石油產(chǎn)品供應(yīng)鏈公司發(fā)送魚叉式釣魚電子郵件��。目標(biāo)包括供水設(shè)施,美國(guó)陸軍使用該設(shè)施為其一個(gè)軍事基地提供飲用水��。
這些攻擊導(dǎo)致石油工業(yè)設(shè)施收到感染��。例如��,在2018秋季發(fā)現(xiàn)英國(guó)的石油公司服務(wù)器與APT33C&C服務(wù)器之間的通信��。另一家歐洲石油公司在2018年11月和12月服務(wù)器上遭受了至少3周的與APT33相關(guān)的惡意軟件感染��。在石油供應(yīng)鏈中��,還有其他幾家公司也在2018年秋季受到攻擊��。
上表中的前兩個(gè)電子郵件地址(以.com和.aero結(jié)尾)是假冒地址��,但是��,以.ga結(jié)尾的地址來(lái)自攻擊者自己��。這些地址都是在冒充知名航空和油氣公司��。
除了APT33對(duì)石油產(chǎn)品供應(yīng)鏈的攻擊外��,該組織使用了多個(gè)C&C來(lái)構(gòu)建小型僵尸網(wǎng)絡(luò)��。
APT33攻擊十分小心��,追蹤也更加困難��。C&C托管在云服務(wù)器上��,這些代理將受感染的機(jī)器URL請(qǐng)求轉(zhuǎn)發(fā)到共享Web服務(wù)器��,這些服務(wù)器可以承載數(shù)千個(gè)合法域��,后端將數(shù)據(jù)發(fā)送到專用IP地址上的聚合節(jié)點(diǎn)和控制服務(wù)器��。APT33利用不同的節(jié)點(diǎn)及變換規(guī)則來(lái)組成私人vpn網(wǎng)絡(luò)��,利用不同的連接來(lái)收集受感染機(jī)器的信息��。
2019年秋統(tǒng)計(jì)了10臺(tái)實(shí)時(shí)數(shù)據(jù)聚合節(jié)點(diǎn)和控制服務(wù)器數(shù)據(jù)��,并對(duì)其中幾個(gè)服務(wù)器進(jìn)行了數(shù)月的跟蹤��。這些聚合節(jié)點(diǎn)從很少的C&C服務(wù)器(只有1個(gè)或2個(gè))獲取數(shù)據(jù)��,每個(gè)C&C最多有12個(gè)受害者。下表列出了一些仍然存在的C&C。
在管理C&C服務(wù)器和進(jìn)行偵察時(shí)��,攻擊者經(jīng)常使用商業(yè)VPN服務(wù)來(lái)隱藏他們的行蹤��,還經(jīng)?�?吹焦粽呤褂盟麄?yōu)樽约涸O(shè)置的私有VPN網(wǎng)絡(luò)��。
通過從世界各地?cái)?shù)據(jù)中心租用服務(wù)器��,并使用open VPN等開源軟件��,可以輕松地建立私有VPN��。盡管私有VPN網(wǎng)絡(luò)連接來(lái)自世界各地不相關(guān)的IP地址��,但這種流量實(shí)際上更容易跟蹤��。一旦我們知道退出節(jié)點(diǎn)主要由特定的攻擊者使用��,可以對(duì)退出節(jié)點(diǎn)的IP地址歸屬地進(jìn)行查詢��。
已知相關(guān)IP地址如下:
這些私人VPN出口節(jié)點(diǎn)也用于偵察與石油供應(yīng)鏈有關(guān)的網(wǎng)絡(luò)��,攻擊者利用表3中的一些IP地址在中東石油勘探公司和軍事醫(yī)院以及美國(guó)石油公司網(wǎng)絡(luò)上進(jìn)行偵察��。
APT33使用其專用VPN網(wǎng)絡(luò)訪問滲透測(cè)試公司的網(wǎng)站��、網(wǎng)絡(luò)郵件��、漏洞網(wǎng)站和與加密貨幣相關(guān)的網(wǎng)站��,以及閱讀黑客博客和論壇��。建議石油和天然氣行業(yè)的公司將其安全日志文件與上面列出的IP地址交叉關(guān)聯(lián)��。
安全建議
石油��、天然氣��、水和電力設(shè)施的不斷現(xiàn)代化��,保障這些設(shè)施更加困難��。以下是這些組織可以采用的一些做法:
1、為所有系統(tǒng)建立定期修補(bǔ)和更新策略��。盡快下載補(bǔ)丁程序��,防止網(wǎng)絡(luò)罪犯利用這些安全漏洞��。
2、提高員工對(duì)網(wǎng)絡(luò)罪犯使用的最新攻擊技術(shù)的認(rèn)識(shí)��。
3��、IT管理員應(yīng)應(yīng)用最小權(quán)限原則��,以便更輕松地監(jiān)視入站和出站流量��。
4��、安裝多層保護(hù)系統(tǒng)��,可以檢測(cè)并阻止從網(wǎng)關(guān)到端點(diǎn)的惡意入侵��。
