美间谍网络最新消息（网络间谍组织APT33继续活跃）

美间谍网络最新消息（网络间谍组织APT33继续活跃）赛门铁克表示，之所以一些美国机构也成为了APT33的攻击目标，极有可能是因为该组织意图加强供应链攻击。就拿其中一个案例来说，在一家美国大型企业遭到攻击的同一个月，该公司位于中东的分公司也遭到了攻击。图2.按行业划分的AP33攻击统计情况（2016-2019）在过去的三年里，虽然APT33的攻击目标仍主要位于沙特阿拉伯（占自2016年初以来全部攻击事件的42%），但美国似乎正在“迎头赶上”。在过去的三年里，共有18家位于美国的机构遭到了APT33的攻击，其中包括多家财富500强企业。调查显示，APT33在美国的攻击目标主要包括分属于工程、化学、研究、能源咨询、金融、IT和医疗保健等领域的机构。

赛门铁克（Symantec）于近日发文称，间谍组织APT33（也被称为“Elfin”）在过去的三年里一直保持高度活跃。虽然其攻击目标仍主要位于中东地区，但也波及到了美国。具体来讲，该组织在过去的三年里总共攻击了位于沙特阿拉伯、美国和其他一些国家的至少50家机构，包括一些大型企业。

该组织被指首次开展攻击活动是在2015年底（或2016年初），主要攻击手段是通过扫描易受攻击的网站来识别潜在可攻击目标，并利用这些网站创建命令和控制（C＆C）基础设施。赛门铁克调查发现，该组织在过去的三年里成功入侵了大量的目标，包括分属于科研、化学、工程、制造、咨询、金融、电信等众多行业的机构以及政府机构。

图1.按国家划分的AP33攻击统计情况（2016-2019）

继沙特阿拉伯之后，美国也成为了攻击重灾区

在过去的三年里，虽然APT33的攻击目标仍主要位于沙特阿拉伯（占自2016年初以来全部攻击事件的42%），但美国似乎正在“迎头赶上”。在过去的三年里，共有18家位于美国的机构遭到了APT33的攻击，其中包括多家财富500强企业。

调查显示，APT33在美国的攻击目标主要包括分属于工程、化学、研究、能源咨询、金融、IT和医疗保健等领域的机构。

图2.按行业划分的AP33攻击统计情况（2016-2019）

赛门铁克表示，之所以一些美国机构也成为了APT33的攻击目标，极有可能是因为该组织意图加强供应链攻击。就拿其中一个案例来说，在一家美国大型企业遭到攻击的同一个月，该公司位于中东的分公司也遭到了攻击。

图3. 按月划分的AP33攻击统计情况（2016-2019）

在攻击活动中，一个WinRAR已知漏洞被利用

在今年2月份的一次攻击中，APT33曾试图利用一个存在于WinRAR中的已知漏洞（CVE-2018-20250）。众所周知，WinRAR是一种早已被广泛使用的文件归档和压缩实用程序，能够创建自解压归档文件。

对于这起攻击而言，APT33的攻击目标是一家位于沙特阿拉伯的化工企业。成功利用CVE-2018-20250漏洞，允许攻击者在尚未打补丁的目标计算机上安装任意文件，进而允许攻击者在目标计算机上执行任意代码。

在当时，这家沙特阿拉伯化工企业的两名工作人员均收到了以一个名为“JobDetails.rar”的文件作为附件的鱼叉式网络钓鱼电子邮件，而该文件被证实就旨在利用CVE-2018-20250漏洞。

APT33工具集解析，包含多款自定义恶意软件

赛门铁克表示，APT33在其攻击活动中使用了多种工具，包括一些自定义恶意软件、商品化恶意软件和开源黑客工具。

该组织使用的自定义恶意软件包括：

• Notestuk（Backdoor.Notestuk）：又名“TURNEDUP”，一种可用于开启后门并从受感染计算机窃取信息的恶意软件；
• Stonedrill（Trojan.Stonedrill）：一种能够在受感染计算机上开启后门并下载文件的恶意软件；此外，该恶意软件还配备有破坏性组件，可以擦除受感染计算机的主引导记录。
• AutoIt后门：一种使用AutoIt脚本语言编写的自定义后门。

除了自定义恶意软件外，APT33还使用了多种商品化恶意软件，它们均可以在暗网市场上购买到，包括：

• Remcos（Backdoor.Remvio）：一种商品化远程管理工具（RAT），可用于从受感染计算机窃取信息；
• DarkComet（Backdoor.Breut）：一种商品化RAT，可用于在受感染计算机上开启后门并窃取信息。
• Quasar RAT（Trojan.Quasar）：一种商品RAT，可用于窃取密码并在受感染计算机上执行命令。
• Pupy RAT（Backdoor.Patpoopy）：一种可用于受感染计算机上开启后门的商品化RAT。
• NanoCore（Trojan.Nancrat）：一种商品RAT，可用于在受感染计算机上开启后门并窃取信息。
• NetWeird（Trojan.Netweird.B）：一种可用于开启后门并从受感染计算机中窃取信息的商品化木马。此外，它还可以被用于下载其他恶意文件。

此外，APT33还频繁使用了一些公开可用的开源黑客工具，包括：

• LaZagne（SecurityRisk.LaZagne）：一种登录/密码抓取工具。
• Mimikatz（Hacktool.Mimikatz）：一种可用于窃取凭证的工具。
• Gpppassword：一种可用于抓取并解密组策略首选项（GPP）密码的工具。
• SniffPass（SniffPass）：一种可通过嗅探网络流量来窃取密码的工具。

案例分析：看APT33是如何开展攻击活动的？

在2018年2月12日，APT33向一家美国机构发送了一封电子邮件，伪装成一家美国全球服务提供商的招聘信息。其中，该电子邮件所包含的网址hxxp://mynetwork.ddns[.]net:880被证明是一个恶意链接。

一旦收件人点击该链接，一个恶意HTML可执行文件就会被下载并打开，而该文件又会通过嵌入式iframe从C＆C服务器加载内容。与此同时，嵌入在该文件中的代码还会执行一个PowerShell命令（如下所示），以便从C＆C服务器下载并执行一个名为“chfeeds.vbe”的文件。

此外，代码接下来还会执行了一个JavaScript命令（如下所示），以创建一个计划任务，目的是每天多次执行chfeeds.vbe。

那么，chfeeds.vbe是用来干嘛的呢？分析显示，它被充当下载程序，以下载一个PowerShell脚本（registry.ps1），而该脚本被用于从C＆C服务器（hxxps://host-manager[.]hopto[.]org）下载并执行一个名为“POSHC2”的PowerShell后门。

在接下来的两个月里，攻击者分别将多种恶意软件安装到了受感染计算机上：

• 2月14日，攻击者开始将Quasar RAT安装到与C＆C服务器（217[.]147[.]168[.]123）通信的受感染计算机上；
• 2月21日，攻击者开始将自定义.NET FTP工具下载到受感染计算机上。
• 3月5日，攻击者使用Quasar RAT从hxxp://192[.]119[.]15[.]36:880/ftp.exe下载并安装了另一种自定义AutoIt FTP工具，名为“FastUploader”。
• 4月18日，攻击者将另一种远程访问工具DarkComet安装到了受感染计算机上。

此外，在整个4月里，攻击者还安装了多个其他版本的DarkComet、POSHC2后门和AutoIt后门，以进一步加强信息窃取。