安全路透社
当前位置:安全路透社 > 网络转载 > 正文

对Gaza网络犯罪组织2018年新动向的分析

1.png

概述信息

Gaza是一个以政治利益为主要目的的阿拉伯网络犯罪集团,该组织出现于2012年,其攻击目标主要集中在中东和北非地区。从那时起,Gaza的攻击活动就从未停歇过,其典型攻击目标包括政府机构、大使馆、石油和天然气企业,媒体人士、政治家以及外交官。

有意思的是,研究人员在2017年中旬发现,Gaza黑客组织的攻击活动出现在了中东和北非地区的石油及天然气企业中。根据研究人员的分析,他们已经在这些组织中成功进行了长达一年多时间的数据窃取活动。另一个有趣的发现是该组织近期正在利用漏洞CVE 2017-0199来实施攻击。Gaza黑客组织还会利用微软Access文件来下载恶意脚本,并以此来降低被检测到的几率。除此之外,该组织从2017年4月份开始也在使用移动端恶意软件来进行攻击和感染了。

根据研究人员的发现,该组织的攻击目标逐渐呈现出了多样化的趋势。攻击者似乎没有再像之前那样选择有针对性的攻击目标了,而他们的目标似乎已经开始转移到了中东和北非地区的情报机构身上。

研究人员所收集到的Gaza网络犯罪组织近期的动向如下:

1.      Gaza网络犯罪组织的攻击者正在对中东及北非地区的政府机构实施攻击。

2.      新的攻击目标还包括中东及北非地区的石油和天然气组织。

3.      Gaza正在使用新型的攻击工具以及技术,其中包括:漏洞CVE 2017-0199、微软Access宏文件(降低检测率)、以及Android端恶意软件。

关于该组织之前的研究报告,可以点击【这里】查看。

卡巴斯基实验室所检测到的Gaza攻击样本如下所示:

HEUR:Exploit.MSOffice.Generic
HEUR:Trojan.Win32.Cometer.gen
HEUR:Trojan.Win32.Generic
Trojan-Downloader.Win32.Downeks
Trojan-Spy.MSIL.Downeks
Win32.Bublik
Win32.Agentb

技术细节分析

在此之前,Gaza网络犯罪组织的攻击活动都非常成功,而且需要注意的是,当时他们所使用的都是一些简单且常见的攻击工具。他们当时主要使用的是各种远程访问木马(RAT)来执行攻击活动,其中包括Downeks、Qasar和Cobaltstrike等等…

从2017年6月份开始,Gaza攻击者开始使用漏洞CVE 2017-0199来实施攻击。据了解,该漏洞将允许攻击者利用微软Office文档来在目标主机中实现远程代码执行(Cobaltstrike Payload)。

在绝大多数情况下,攻击者都是通过电子邮件附件(或下载链接)的形式来传播恶意软件的。从2017年3月份开始,我们发现攻击者使用嵌入了宏文件的恶意微软Office文档来向目标用户传播恶意代码。当用户打开了恶意Office文档之后,恶意软件将会获取到目标设备的完整控制权限,此后攻击者将能够随意获取目标系统中的文件、键盘记录以及屏幕截图等数据。

Gaza近期的攻击活动总结

下面给出的是Gaza网络犯罪组织近期的攻击活动信息:

2.png

3.png

4.png

关于上述文件的详细描述,我们会在文章结尾的附录1中给出。

新的发现

研究人员发现,Gaza犯罪组织的攻击者近期正在提升他们的攻击技术。比如说,他们已经开始使用新的攻击方法以及技术来传播恶意软件了。除此之外,他们还在使用社会工程学技术来尝试诱发地区政治以及人道主义冲突事件。真是唯恐天下不乱啊…

在2017年中旬,研究人员还在中东及北非地区的石油和天然气组织中发现了Gaza攻击者的活动踪迹。研究人员表示,Gaza入侵这些组织的时间很可能已经超过了一年,而且在这段时间里他们一直都在从这些组织中窃取敏感数据。该活动中的恶意文件样本报告可以点击【这里】获取。

在人道主义以及政治活动中广泛使用社会工程学攻击

Gaza的攻击目标目前仍然在中东及北非地区的政府机构、石油和天然气组织、新闻媒体、政治家和外交官的身上。但是近期,Gaza网络犯罪组织开始使用先进的社会工程学技术来影响政治和人道主义活动。

下面给出的是针对Qatar新闻机构的攻击样本:

5.png

微软Access宏文件

利用微软Access文件中的恶意宏是Gaza黑客组织近期研究出来的新技术,而这种技术可以有效地降低攻击活动被检测到的几率。

MD5: 6d6f34f7cfcb64e44d67638a2f33d619

文件名:GAZA2017.mdb

C1: http://download.data-server.cloudns[.]club/GAZA2017.mdb

下载的可执行文件如下:

data-server.cloudns[.]club/wordindexer.exe
data-server.cloudns[.]club/indexer.exe

下图中,攻击者写的内容大概是:“你这个月没有工资,想知道原因,请点击‘启用宏’”…

6.png

解密后的代码如下:

7.png

利用漏洞CVE 2017-0199

MD5: 87a67371770fda4c2650564cbb00934d

首次发现日期:2017年06月20日

Gaza组织的攻击者首先会使用钓鱼邮件来传播恶意RTF文档,而文档中嵌入的代码将会让微软Office Word来运行远程文件并成功利用漏洞实施攻击。在我们分析的样本中,远程文件的下载地址为138.68.242[.]68,下载的Payload为Cobaltstrike,接下来Payload会跟lol.mynetav[.]org建立连接并接收攻击者发送过来的控制命令。

Android端恶意软件

研究人员从2017年4月24日开始追踪Gaza黑客组织所使用的恶意APK文件,文件的URL地址如下:

http://alasra-paper.duckdns[.]org/send/%D9%88%ket-Edition-1.04_ApkHouse[.]com/Dont-Starve-Pocket-Edition-1.04_ApkHouse[.]com.apk

8.png

文件(Dont-Starve-Pocket-Edition-1.04_ApkHouse[.]com.apk)是一个隐藏于当前热门手机游戏中的恶意Android应用,研究人员认为这个Android木马可能跟他们之前所发现的Android木马有关,具体信息请点击【这里】获取。

总结

除了主动攻击技术以及针对基础设施的感染技术之外,Gaza网络犯罪组织还向我们展示了大量先进的社会工程学技术。需要提高警惕的是,Gaza攻击者目前仍在积极地开发新型的攻击工具包,以尽量降低攻击Payload被安全产品检测到的几率。因此研究人员推测,在即将到来的2018年,无论从攻击质量和攻击次数方面,Gaza攻击活动都会呈现激增趋势。

附录1:恶意文件

接下来,我们将会给出攻击活动中相关的恶意文件

1.      b7390bc8c8a9a71a69ce4cc0c928153b

父文件:970e6188561d6c5811a8f99075888d5f 5-4-2017.zip

C2: moreoffer[.]life

首次发现日期:2017年04月05日

9.png

2.      f43188accfb6923d62fe265d6d9c0940

文件名:Gcc-Ksa-uae.exe

C2: moreoffer[.]life (185.11.146[.]68)

首次发现日期:2017年03月21日

10.png

3.      056d83c1c1b5f905d18b3c5d58ff5342

文件名:مراسلة بخصوص اجتماع رؤساء البعثات.exe

C2: moreoffer[.]life

首次发现日期:2017年03月16日

11.png

4.      0ee4757ab9040a95e035a667457e4bc6

文件名:27-4-2017 Fateh Gaza plo.exe

C2: signup.updatesforme[.]club

首次发现日期:2017年04月27日

12.png

5.      7bef124131ffc2ef3db349b980e52847

文件名:الأخ اسماعيل هنية -نائب رئيس المكتب السياسي.exe

C2: ping.topsite[.]life

首次发现日期:2017年03月14日

13.png

附录2:入侵威胁指标IoC

恶意域名

moreoffer[.]life
signup.updatesforme[.]club
ping.topsite[.]life
alasra-paper.duckdns[.]org
hamas-wathaq.duckdns[.]org
download.data-server.cloudns[.]club
upgrade.newshelpyou[.]com
manual.newphoneapp[.]com
hnoor.newphoneapp[.]com
lol.mynetav[.]org

IP地址

138.68.242[.]68
185.86.149[.]168
185.11.146[.]68
45.32.84[.]66
45.32.71[.]95
107.161.27[.]158
46.246.87[.]74

文件哈希

MD5

87a67371770fda4c2650564cbb00934d
4f3b1a2088e473c7d2373849deb4536f
c078743eac33df15af2d9a4f24159500
3ff60c100b67697163291690e0c2c2b7
a3de096598e3c9c8f3ab194edc4caa76
7d3426d8eb70e4486e803afb3eeac14f
3f67231f30fa742138e713085e1279a6
552796e71f7ff304f91b39f5da46499b
6fba58b9f9496cc52e78379de9f7f24e
eb521caebcf03df561443194c37911a5
b68fcf8feb35a00362758fc0f92f7c2e
d87c872869023911494305ef4acbd966
66f144be4d4ef9c83bea528a4cd3baf3
B7390bc8c8a9a71a69ce4cc0c928153b
F43188accfb6923d62fe265d6d9c0940
056d83c1c1b5f905d18b3c5d58ff5342
0ee4757ab9040a95e035a667457e4bc6
7bef124131ffc2ef3db349b980e52847
70d03e34cadb0f1e1bc6f4bf8486e4e8
67f48fd24bae3e63b29edccc524f4096
7b536c348a21c309605fa2cd2860a41d
cf9d89061917e9f48481db80e674f0e9
6d6f34f7cfcb64e44d67638a2f33d619
86a89693a273d6962825cf1846c3b6ce
5472d0554a0188c0ecebd065eddb9485

SHA256
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* 参考来源:securelist,FB小编Alpha_h4ck编译

未经允许不得转载:安全路透社 » 对Gaza网络犯罪组织2018年新动向的分析

赞 (1)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册