伊朗黑客組織APT33在美國建立了特殊VPN節點專用網路攻擊高價值目標

伊朗的一項由國家資助的精英黑客組織之一已經建立並一直在運營自己的VPN節點專用網路，他們已將其用於連線到黑客基礎設施，對未來目標進行偵察甚至是隨意的網路瀏覽，今天由網路安全公司趨勢科技（Trend Micro）提供。

該組織以程式碼APT33在網路安全圈中追蹤，是迄今為止伊朗最複雜的黑客部門。

他們是開發出名為Shamoon（DistTrack）的磁碟擦除惡意軟體的人，該惡意軟體在2012年摧毀了沙烏地阿拉伯的Saudi Aramco超過35,000個工作站。

最近，該組織重新發動了新的攻擊，主要針對石油和航空業，甚至在去年年底部署了新版本的Shamoon惡意軟體。

在2019年，APT33操作依賴於經典的魚叉式釣魚操作，有時還依賴於使用巧妙的Outlook漏洞。

根據趨勢科技（Per Trend Micro），2019年確認的APT33感染包括一家提供與國家安全相關的服務的美國私人公司，與美國一所大學和一所大學有關的受害者，最有可能與美國軍方有關的受害者以及中部的幾名受害者東方和亞洲。

追蹤APT33的基礎架構

但是研究人員說，在調查這些黑客時，他們能夠深入瞭解APT33如何管理其黑客基礎結構。

根據研究人員的說法，一切都是分層和隔離的，以使APT33操作員處於事件響應者保密的祕密之下。

根據趨勢科技研究人員共享的手繪模式，APT33操作員與其目標之間有四層。

VPN層 -VPN節點的定製網路，以隱藏運營商的真實IP地址和位置

Bot控制器層 -伺服器的中間層

C＆C後端層 -組通過其管理惡意軟體殭屍網路的實際後端伺服器

代理層 -雲代理伺服器的集合，C＆C（命令和控制）伺服器可通過這些代理伺服器對受感染的主機隱藏

但是，對研究人員突出的事實是，APT33並未使用商業VPN伺服器來隱藏其位置，就像某些黑客組織傾向於這樣做那樣。

相反，該小組已經建立並正在運營自己的專用VPN網路。

研究人員說：“通過從世界各地的資料中心租用幾臺伺服器，並使用像OpenVPN這樣的開源軟體，可以很容易地建立專用VPN。”

APT33的自定義VPN網路是一個大錯誤

但是APT33不知道的是，實際上，這使它們更易於跟蹤。研究人員只需要留意幾個IP地址即可。如果APT33使用了商業VPN提供商的網路，那麼它們將無縫地融合到所有其他合法流量中。

趨勢科技表示：“ APT33可能僅使用其VPN出口節點。” “我們已經跟蹤了該組織的一些專用VPN出口節點超過一年，並且在下表中列出了已知的關聯IP地址。”

但是，除了連線到其惡意軟體殭屍網路控制皮膚之外，趨勢科技表示，該組織還使用了相同的專用VPN出口節點，“用於偵查與石油行業供應鏈相關的網路”。

研究人員說：“更具體地說，我們目睹了表3中的某些IP地址在中東一家石油勘探公司和軍事醫院以及美國一家石油公司的網路上進行偵察。”

趨勢科技的團隊說：“APT33也對專門招募石油和天然氣行業僱員的網站有明顯的興趣。” “我們建議石油和天然氣行業的公司將其安全日誌檔案與上面列出的IP地址進行交叉關聯。”

此外，趨勢科技表示，APT33還使用其專用VPN網路訪問滲透測試公司的網站，網路郵件，漏洞網站和加密貨幣黑客網站。

CC

DomainCreatedsuncocity.com5/31/16zandelshop.com6/1/16simsoshop.com6/2/16zeverco.com6/5/16qualitweb.com6/6/16service-explorer.com3/3/17service-norton.com3/6/17service-eset.com3/6/17service-essential.com3/7/17update-symantec.com3/12/17

IP addressFirst seenLast seen5.135.120.5712/4/181/24/195.135.199.253/3/193/3/1931.7.62.489/26/189/29/1851.77.11.467/1/197/2/1954.36.73.1087/22/1910/05/1954.37.48.17210/22/1911/05/1954.38.124.15010/28/1811/17/1888.150.221.1079/26/1911/07/1991.134.203.599/26/1812/4/18109.169.89.10312/2/1812/14/18109.200.24.11411/19/1812/25/18137.74.80.2209/29/1810/23/18137.74.157.8412/18/1810/21/19185.122.56.2329/29/1811/4/18185.125.204.5710/25/181/14/19185.175.138.1731/19/191/22/19188.165.119.13810/8/1811/19/18193.70.71.1123/7/193/17/19195.154.41.721/13/191/20/19213.32.113.1596/30/199/16/19216.244.93.13712/10/1812/21/18

File nameSHA256Detection NameMsdUpdate.exee954ff741baebb173ba45fbcfdea7499d00d8cfa2933b69f6cc0970b294f9ffdTrojan.Win32.NYMERIA.MLRMsdUpdate.exeb58a2ef01af65d32ca4ba555bd72931dc68728e6d96d8808afca029b4c75d31eTrojan.Win32.SCAR.ABMsdUpdate.exea67461a0c14fc1528ad83b9bd874f53b7616cfed99656442fb4d9cdd7d09e449Trojan.Win32.SCAR.ACMsdUpdate.exec303454efb21c0bf0df6fb6c2a14e401efeb57c1c574f63cdae74ef74a3b01f2Trojan.Win32.NYMERIA.MLW

參考：

https://blog.trendmicro.com/trendlabs-security-intelligence/more-than-a-dozen-obfuscated-apt33-botnets-used-for-extreme-narrow-targeting/

微信搜尋關注紅數位

混跡安全圈，每日必看！