【安全资讯】伊朗APT34组织以军队事务和移动运营商业务为话题发起定向攻击

2021年以来，研究人员追踪到多起以军队事务和移动运营商业务为话题的定向攻击活动。攻击者伪装成为军事部门以军队内部事务如海军战舰就绪清单、某军官解雇令为诱饵对目标发起定向攻击并植入木马，同时也常常伪装成为一些国家的重要企业以招聘人员为由攻击目标。研究人员通过对攻击目标、入侵技术特点、代码同源性等因素进行比对分析后，确认此批攻击来源于APT34组织。APT34组织2019年的武器库泄露事件中曾暴露出其控制的Exchange服务器的webshell列表，这些列表中包含了十多家被黑客成功渗透过的中国企业和机构。

APT34于2016年首次被披露，是一个来自于伊朗的APT组织，其最早活跃时间可追溯到2014年，攻击目标主要集中在中东及亚洲地区，涉及金融、政府、能源、化工、电信等行业。APT34善于采用通信隐匿技术来规避检测和追踪，比如：通过Exchange Web Services (EWS) API实现高可信度、高隐匿性的“EWS隧道技术”。APT34组织的攻击活动时间线如下：

攻击活动时间线

APT34在此次活动中做了大量的技术改进和升级，其中大部分都是以提高攻击的匿名性、隐蔽性、可控性和安全性为目的，防止被检测和追踪。比如APT34在本次攻击中，首次利用预攻击诱饵文档关闭宏提示；首次使用“匿名DNS隧道技术”，借助公共服务商RequestBin提供的匿名DNS服务，隐匿的上报设备指纹信息和感染进度；升级Karkoff后门，优化了“EWS隧道技术”，提高了基于EWS通信的内容安全，如基于EWS隧道利用RSA和AES算法对控制指令进行加密、提高了邮件载体的迷惑性以及利用窃取的EWS账号作为控制命令服务器等等手段以掩人耳目；首次使用JS代码注释作为控制通道，将控制指令加密隐藏于Javascript的注释中，使得控制命令的下发难以检测等等。攻击手法如下：

此外，本次攻击活动中，黑客还将窃取的黎巴嫩军方和移动运营商账户作为本次攻击的控制命令服务器，而APT34为了进一步的隐蔽自身，长期对Exchange服务进行攻击扫描，控制大量国家重要机构和企业的Exchange服务器，同时从这些服务器上窃取了相关的登录凭证，进而利用Exchange服务作为控制端服务器从事间谍活动。

总结：

APT34组织的攻击手法隐秘高明，且在不断地改进升级其攻击技术，扩充其匿名性的基础设施和增加其独具一格的TTP。同时其还擅长于巧妙地利用低成本公共服务来隐藏其攻击痕迹，提高其攻击的成功率。此外，该组织为了逃避检测机制，常常会更换攻击策略和战术。