华盟君引言“上周,USCYBERCOM共享的恶意软件样本首次在2016年12月被发现,这些攻击归因于与伊朗有关的APT33。”
美国网络司令部(USCYBERCOM)于2016年12月和2017年1月向VirusTotal上传了伊朗关联的APT33群体使用的恶意软件。
现在卡巴斯基的专家证实,恶意软件被用于利用CVE-2017-11774漏洞的攻击,其中两个文件(MD5:d87663ce6a9fc0e8bc8180937b3566b9,MD5:9b1a06590b091d300781d8fbee180e75)于2016年首次出现。
“USCYBERCOM的VirusTotal可执行文件上传文件出现在我们2017年1月的私人报告”NewsBeef提供圣诞礼物“中,这是对针对沙特阿拉伯目标的鱼叉式网络钓鱼和水坑攻击所采用的策略变化的考察。”卡巴斯基发表的报告中写道。“USCYBERCOM上传的两个文件特别令人感兴趣。这些首次出现在2016年12月和2017年1月:“
当时,这家安全公司在一份私人报告中警告客户这些威胁。特别是,研究人员将这些攻击归咎于 NewsBeef 威胁演员(又名迷人小猫,新闻播报员,Ajax安全 团队和APT35)。
卡巴斯基于2017年1月发布的私人报告题为“NewsBeef提供圣诞礼物”,分析了NewsBeef集团TTP的演变。专家注意到威胁演员为其武器库增加了新的工具,包括支持宏的Office文档,PowerSploit和Pupy后门。
Pupy是一个开源,多平台(Windows,Linux,OSX,Android),多功能后门。后门主要用Python编写,并借用其他开源攻击工具的代码,包括PowerSploit,Mimikatz,laZagne, 等等。
“Pupy 可以生成 backconnect 要么 bindport 多种格式的有效载荷:PE 可执行文件 (x86 / x64)适用于Windows,ELF二进制/。所以对于Linux,反射DLL(x86 / x64),纯Python文件,PowerShell, APK和Rubber Ducky脚本(Windows)。“阅读报告。
攻击者还进行了鱼叉式网络钓鱼攻击和水坑袭击,主要针对沙特阿拉伯的目标(政府财政和行政组织,政府卫生组织,工程和技术组织,一个英国劳工相关政府组织(多次目标))。
NewsBeef威胁演员继续部署恶意的支持宏的Office文档,毒害合法的Flash和Chrome安装程序,PowerSploit和Pupy工具
专家们发现受感染的网站感染了被混淆的JavaScript,用于将访问者重定向到跟踪受害者并提供恶意软件的NewsBeef控制的主机。
卡巴斯基报告和USCYBERCOM上传确认伊朗链接的APT小组用于共享恶意软件代码,该恶意软件与COBALT GYPSY威胁组有关,也与Shamoon有关。
“以前有关NewsBeef APT的报道指出该集团依赖开源工具推出 简单但有效的攻击。从历史上看,该组织已经使用BeEF来跟踪目标并提供恶意有效载荷。“报告总结道。“然而,正如最近的竞选活动所表明的那样,NewsBeef APT似乎已经改变了它的入侵工具集远离BeEF和宏启用的恶意Office文档,PowerSploit和Pupy。尽管如此工具集该集团仍然依赖旧的基础设施,因为它们重用了由服务提供商Choopa和Atlantic.net托管的服务器。“
