【安全资讯】APT34/OilRig新的样本以及归因分析

2020年10月上旬，研究人员发现了一个恶意文档样本，该样本可能归因于一个名为APT34/OilRig的APT组织。安全研究人员报告了基于恶意文档中发现的几种元素对其进行归因。

根据提取的证据，作者对该恶意文档进行“签名”，并将用户名保留在文档元数据中。此昵称在网络威胁情报领域广为人知。这个昵称是Iamfarhadzadeh，与Mohammad Farhadzadeh关联，这个人名被认为是APT34/OilRig黑客组织的成员。

至于为何在文档元数据中留下这个昵称。我们的第一个假设是故意欺骗安全研究人员，促使他们通过发布与社会政治事件相关的恶意文档，将恶意活动归因于网络间谍活动。

该分析为我们提供了建立攻击者“指纹”的机会，以便对其进行深入跟踪，我们不仅确定了受感染的受害者，而且还确定了与攻击者主机有关的所有信息。证据表明，该人员可能是网络犯罪团队的一员。我们收集了攻击者用作桥接器的几个IP地址，这些IP用于打包恶意文档并通过网络钓鱼传播，所有这些服务器都可以通过RDP服务访问。

有趣的是，在攻击活动的准备阶段，攻击者似乎是根据非常具体的攻击清单（可能是根据感兴趣的部门进行分类）选择潜在目标而采取行动的。例如，在准备攻击石油和天然气行业运营实体的运动时，收集到的证据表明，对手针对专门从事该行业行业集团新闻的网站进行了网络浏览侦查。 ognnews.com是网络犯罪分子赖以获取有关石油和天然气行业信息的网站之一，显示在下面的屏幕截图中：

总结：

攻击者针对包括意大利在内的不同工业化国家的许多实体和组织，涉及多个个人用户。从2020年10月中旬开始，我们统计了300封对手用作网络钓鱼活动的意大利电子邮件地址，在受影响最大的行业中，我们观察到了工业，制造，运输，能源以及石油和天然气。