当前位置:安全资讯 >> 全文

伊朗网络间谍利用新型木马攻击中东地区的实体

发布时间:2017-10-11 9:47
分享到 0

安全公司PaloAlto周一表示,跟伊朗存在关联的一个网络间谍组织OilRig正在利用新型木马攻击位于中东地区的实体。

OilRig最近针对阿联酋政府内部的一个组织机构发动攻击。该组织首次现身于20165月,当时研究人员认为攻击是由已知的组织发动的,但随后他们判断称是由新出现的OilRig所为。OilRig组织使用一个远程访问木马ISMDoor发动攻击,这个木马曾出现于由另外一个跟伊朗存在关联的网络间谍组织Greenbug所使用。

20177月份,OilRig组织开始使用一款新型恶意软件ISMAgentISMDoorAgent变体)发动攻击。8月,攻击者使用了一款新型的注入器木马ISMInjector发动攻击。ISMInjector具有复杂的基础架构而且包含之前该组织未曾使用过的反分析技术。

研究人员指出,这种复杂的机构和使用新型反分析技术可能说明,这个组织正在加强开发能力以躲避检测并增强攻击效果。

在针对阿联酋政府的攻击中,黑客使用主题名为“重要事项”的邮件附件传播恶意软件。耐人寻味的是,邮件来自目标组织机构自己的域名。虽然安全专家最初认为攻击者欺骗了发件人,但随后认为实际上攻击者使用了一个被攻陷的OutlookWeb Access (OWA) 账户。攻击者通过之前的钓鱼攻击获取了这个账户的凭证。

发送给阿联酋政府的恶意文档“ThreeDollars”传播的是新型ISMInjector木马,而这款木马又通过将其注入到所创建的远程进程的方式释放了ISMAgent后门的一个变体。

恶意软件开发人员为了增加分析ISMInjector的难度,他们使用研究人员称之为“状态机”创建了一个新进程并将有效负载注入到这个进程中。每个状态负责开展一种特别行动并指明了应被执行的下一个状态。

由于这些状态并非以先后顺序执行,研究人员不得不在代码中跳来跳去以研究恶意软件的工作原理,这就让威胁的调查工作更具挑战性。而加密的使用让恶意软件的分析更难。

伊朗似乎拥有多个网络间谍组织,如APT33Rocket KittenCobalt Gypsy (Magic Hound)Charming Kitten (NewscasterNewsBeef) CopyKittens

本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。
原文链接:http://www.securityweek.com/iranian-cyberspies-use-new-trojan-middle-east-attacks
参与讨论,请先 登录 | 注册

用户评论