信息來源:FreeBuf
APT33常以石油和航空業(yè)為攻擊目標(biāo)�����,最近的調(diào)查結(jié)果顯示����,該組織一直在使用大約12臺經(jīng)過多重混淆的C&C服務(wù)器來攻擊特定目標(biāo)。該組織主要在中東�����、美國和亞洲地區(qū)開展的針對性極強的惡意攻擊活動。
每一個僵尸網(wǎng)絡(luò)由12臺以上受感染的計算機組成���,用來攻擊的惡意軟件只有基本的功能����,包括下載和運行其他惡意軟件���。2019年的活躍感染者包括一家提供國家安全相關(guān)服務(wù)的美國私營公司����、受害目標(biāo)包括美國大學(xué)���、美國軍方以及中東和亞洲的幾名受害者��。
在過去的幾年里�����,APT33變得更具有攻擊性�����。例如��,兩年來該組織利用一位歐洲高級政治家(該國國防委員會成員)的私人網(wǎng)站�,向石油產(chǎn)品供應(yīng)鏈公司發(fā)送魚叉式釣魚電子郵件。目標(biāo)包括供水設(shè)施���,美國陸軍使用該設(shè)施為其一個軍事基地提供飲用水�。
這些攻擊導(dǎo)致石油工業(yè)設(shè)施收到感染���。例如�����,在2018秋季發(fā)現(xiàn)英國的石油公司服務(wù)器與APT33C&C服務(wù)器之間的通信。另一家歐洲石油公司在2018年11月和12月服務(wù)器上遭受了至少3周的與APT33相關(guān)的惡意軟件感染�����。在石油供應(yīng)鏈中����,還有其他幾家公司也在2018年秋季受到攻擊。
上表中的前兩個電子郵件地址(以.com和.aero結(jié)尾)是假冒地址�,但是,以.ga結(jié)尾的地址來自攻擊者自己���。這些地址都是在冒充知名航空和油氣公司�����。
除了APT33對石油產(chǎn)品供應(yīng)鏈的攻擊外����,該組織使用了多個C&C來構(gòu)建小型僵尸網(wǎng)絡(luò)。
APT33攻擊十分小心���,追蹤也更加困難��。C&C托管在云服務(wù)器上����,這些代理將受感染的機器URL請求轉(zhuǎn)發(fā)到共享Web服務(wù)器���,這些服務(wù)器可以承載數(shù)千個合法域��,后端將數(shù)據(jù)發(fā)送到專用IP地址上的聚合節(jié)點和控制服務(wù)器���。APT33利用不同的節(jié)點及變換規(guī)則來組成私人vpn網(wǎng)絡(luò),利用不同的連接來收集受感染機器的信息。
2019年秋統(tǒng)計了10臺實時數(shù)據(jù)聚合節(jié)點和控制服務(wù)器數(shù)據(jù)���,并對其中幾個服務(wù)器進行了數(shù)月的跟蹤�。這些聚合節(jié)點從很少的C&C服務(wù)器(只有1個或2個)獲取數(shù)據(jù)���,每個C&C最多有12個受害者����。下表列出了一些仍然存在的C&C���。
在管理C&C服務(wù)器和進行偵察時���,攻擊者經(jīng)常使用商業(yè)VPN服務(wù)來隱藏他們的行蹤,還經(jīng)?����?吹焦粽呤褂盟麄?yōu)樽约涸O(shè)置的私有VPN網(wǎng)絡(luò)����。
通過從世界各地數(shù)據(jù)中心租用服務(wù)器���,并使用open VPN等開源軟件����,可以輕松地建立私有VPN。盡管私有VPN網(wǎng)絡(luò)連接來自世界各地不相關(guān)的IP地址����,但這種流量實際上更容易跟蹤。一旦我們知道退出節(jié)點主要由特定的攻擊者使用����,可以對退出節(jié)點的IP地址歸屬地進行查詢。
已知相關(guān)IP地址如下:
這些私人VPN出口節(jié)點也用于偵察與石油供應(yīng)鏈有關(guān)的網(wǎng)絡(luò)�,攻擊者利用表3中的一些IP地址在中東石油勘探公司和軍事醫(yī)院以及美國石油公司網(wǎng)絡(luò)上進行偵察。
APT33使用其專用VPN網(wǎng)絡(luò)訪問滲透測試公司的網(wǎng)站�����、網(wǎng)絡(luò)郵件���、漏洞網(wǎng)站和與加密貨幣相關(guān)的網(wǎng)站�,以及閱讀黑客博客和論壇���。建議石油和天然氣行業(yè)的公司將其安全日志文件與上面列出的IP地址交叉關(guān)聯(lián)����。
安全建議
石油、天然氣��、水和電力設(shè)施的不斷現(xiàn)代化�,保障這些設(shè)施更加困難。以下是這些組織可以采用的一些做法:
1����、為所有系統(tǒng)建立定期修補和更新策略。盡快下載補丁程序���,防止網(wǎng)絡(luò)罪犯利用這些安全漏洞���。
2、提高員工對網(wǎng)絡(luò)罪犯使用的最新攻擊技術(shù)的認(rèn)識���。
3����、IT管理員應(yīng)應(yīng)用最小權(quán)限原則��,以便更輕松地監(jiān)視入站和出站流量���。
4����、安裝多層保護系統(tǒng)����,可以檢測并阻止從網(wǎng)關(guān)到端點的惡意入侵。
