国家级APT(Advanced Persistent Threat,高级持续性威胁)组织是有国家背景支持的顶尖黑客团伙,专注于针对特定目标进行长期的持续性网络攻击。
奇安信旗下的高级威胁研究团队红雨滴(RedDrip Team)每年会发布全球APT年报【1】、中报,对当年各大APT团伙的活动进行分析总结。
04
Oilrig
OilRig是中东某国政府支持的APT组织。主要针对中东国家实施攻击,近几年来我国也成为了其攻击目标。
该APT组织知名度较高,代表了该国网军的最高网络攻击水平。奇安信内部跟踪编号为APT-Q-53。
背景
自2014年被发现以来,OilRig一直非常活跃,主要针对中东国家实施攻击,其次是美国、土耳其、英国等西方国家,也包括中国和印度。
OilRig攻击目标具体包括包括政府、媒体、及技术服务提供商等组织,行业包括金融、政府、能源、化工和电信等领域。
攻击特点手段、工具
从攻击入口来看,Oilrig主要采用鱼叉攻击、社工钓鱼、水坑攻击等方式实施组合攻击。
此外,Oilrig还善于使用通信隐匿技术来规避检测和追踪,比如:通过Exchange Web Services (EWS))API实现高可信度、高隐匿性的“EWS隧道技术”。通过大量案例分析,总结出Oilrig以下特点:
该组织主要依赖社会工程学实施攻击,利用钓鱼网站窃取用户凭据,例如OWA;
当该组织获取系统访问权限后,使用密码抓取器Mimikatz工具dump账户凭据信息,窃取登录的账户凭据;
利用窃取的账户凭证进行横向移动;
过去攻击中从未使用0day漏洞,但会在攻击中利用已修补的漏洞的相关利用代码;
(一)攻击手段
1. 鱼叉攻击
2. 水坑攻击
3. 数据信息破坏擦除
与该国支持的其他黑客一样,OilRig同样喜好部署“摧毁性”恶意软件。IBM曾披露OilRig使用数据破坏软件ZeroCleare瞄准中东能源和工业部门发动攻击,初步估算已有1400台设备遭感染。ZeroCleare和令沙特石油巨头闻风丧胆的破坏性恶意软件Shamoon属于同宗,均由出自该国顶级黑客组织一手开发。
(二)使用工具及技术特征
知名攻击事件
(一)OilRig首次被揭开面纱
2016年5月,OilRig攻击沙特阿拉伯国防工业部门被安全厂商Palo Alto Network【2】发现,并将此事与两年前的相似攻击事件关联,揭开OilRig的“神秘面纱”。
此次事件OilRig使用两种攻击方式:第一种是Excel夹带恶意宏传播VB和PowerShell脚本,下载Helminth木马入侵电脑,通过DNS请求窃取数据;第二种是通过邮件ZIP附件来传播Windows可执行文件。
(二)针对中东政府利用Office漏洞传播后门
2017年11月,OilRig针对中东政府进行鱼叉攻击,并利用Office漏洞传播.rtf恶意文件【3】。恶意文件利用CVE-2017-11882漏洞破坏堆栈内存,然后将恶意数据压栈,经过一系列步骤执行,建立与命令和控制(C2)服务器的连接。
(三)利用社工技术伪装实施攻击
2019 年 6 月,Oilrig伪装成剑桥大学成员的身份以获得受害者信任,并使用 Linkedin私信传递恶意软件【4】,主要针对能源、公用事业、政府油气等多行业人员。
(四)使用数据擦除破坏中东能源机构数据
2019 年12月,IBM披露Wiper 类恶意软件“Zeroclear”,可以删除感染设备数据,主要针对中东能源和工业部门进行破坏性攻击,初步估算有1400台设备受到感染【5】。
(五)2021年对中东的最新攻击活动
2021年1月至4月期间,OilRig针对中东地区再次实施攻击,采用Word诱饵文档作为初始攻击【6】。文档伪装成“黎巴嫩海军战舰就绪清单”、“Ntiva公司的招聘信息”(美国IT服务商)等诱饵文件作为攻击入口,结合窃取的Exchange账号完成组合入侵。OilRig在文档正文中添加诱导性描述以诱使目标启用恶意宏代码,从而植入后门程序。
总结
总体而言,OilRig代表了该中东国家网军的最高网络攻击水平,是以实其政治目的为主要目标的APT组织。
其攻击范围主要针对中东国家(以色列为主)及敌国美国,近几年来我国也成为了其攻击目标。
注解
https://ti.qianxin.com/uploads/2021/02/08/dd941ecf98c7cb9bf0111a8416131aa1.pdf
https://unit42.paloaltonetworks.com/unit42-oilrig-actors-provide-glimpse-development-testing-efforts/
https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html
https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html
https://www.ibm.com/downloads/cas/OAJ4VZNJ
https://research.checkpoint.com/2021/irans-apt34-returns-with-an-updated-arsenal/