与伊朗有联系的APT集团APT33一直在使用多层模糊技术运行十几台实时C2服务器,以进行极有针对性的攻击。
与伊朗有联系的APT集团APT33,一直在使用多层模糊技术来运行12台实时C2服务器,这些服务器涉及极具针对性的恶意软件攻击。
目标恶意软件活动针对中东,美国和亚洲的组织。
APT33集团成立于2013年,自2016年中期以来,该集团瞄准了与石化生产有关联的航空业和能源公司。大部分目标在中东,还有的在美国、韩国和欧洲。
民族国家行为者正在使用由多达12台受感染计算机组成的小型僵尸网络来在目标网络中保持持久性。
Trend Micro发布的分析报告称:“恶意软件相当基础,其功能有限,包括下载和运行其他恶意软件。在2019年发生的感染中,在2019年的活跃感染中,有两家独立的美国私人公司提供与国家安全相关的服务,分别来自美国的一所大学和一所学院,其中一个受害者很可能与美国有关,还有几个受害者在中东和亚洲。”
据Recorder Future的专家在7月发布的报告称,与伊朗有关的网络间谍组织APT33在公布了一份详述其活动的报告后,已经更新了其基础设施。
APT集组织最近瞄准了石油和航空业的组织,这是一家提供国家安全服务的美国私营公司,受害者与美国的一所大学和一所学院有关,受害者很可能与美国军方有关,以及中东和亚洲的一些实体。
在调查这些攻击时,Trend Micro的专家收集了有用的信息,以了解APT33如何管理其黑客基础结构。
指挥和控制基础设施是分层和孤立的,以保持警惕并加强安全部门和执法机构的调查和取缔。
上述方案表明,APT组利用VPN层构建一个由VPN节点组成的自定义网络,而APT33运行自己的专用VPN网络。
“当管理C&C服务器和进行侦察时,威胁者经常使用商业VPN服务来隐藏他们的行踪。但是除了使用可用于任何用户的VPN服务之外,我们还经常看到参与者使用他们为自己建立的专用VPN网络。 APT33可能只使用它的VPN出口节点。我们已经跟踪了该组织的专用VPN出口节点超过一年,并且在下表中列出了已知的关联IP地址。“
Trend Micro已经跟踪了该集团的私人VPN出口节点超过一年,低于与该组的活动相关联的IP地址列表。
私人VPN出口节点被用来向恶意软件发送命令,以及用于监视与中东石油工业和军事医院的供应链相关的网络。
Trend Micro总结道:“APT33也对专门招聘油气行业员工的网站有着明显的兴趣,我们建议石油和天然气行业的公司将其安全日志文件与上面列出的IP地址交叉关联。”
