【安全资讯】APT-C-23组织以巴勒斯坦选举热点信息为诱饵的攻击活动分析

引言

双尾蝎组织（APT-C-23）是一个长期针对中东地区的高级威胁组织，最早于2017年被披露。至少自2016年5月起，持续针对巴勒斯坦教育机构、军事机构等重要领域进行网络间谍活动，窃取敏感信息。近日，研究人员发现了以巴勒斯坦地区选举话题为诱饵的攻击样本。

简况

本次捕获的样本为RAR压缩的文件，其文件名翻译后为“大学的报告.docx.xz”。解压后里面包含一个伪装为Word图标的EXE文件，且具有较长的文件名，旨在不显示文件后缀。

样本执行后将从资源获取诱饵文档释放展示，诱饵文档内容主要是关于针对巴勒斯坦选举活动举行的地点商议，其中涉及到各方势力及强宗教信息。属于中东地区双尾蝎、Molerats等组织在攻击活动中的常用话题。

此样本为Delphi 语言编写，且携带一个隐藏的窗体，均从资源中释放诱饵文档。双尾蝎组织对代码进行部分修改，将某些功能函数封装在了点击组件中，其中4个定时器依旧没有改变，将以往网络相关的封装在了pstReq函数中。对比图如下：

此次捕获的攻击样本与双尾蝎APT组织常用攻击手法，恶意代码基本一致。其中Delphi 语言编写的样本较以往样本无较大变化。通过对样本里面硬编码的诱饵文件名进行推测，双尾蝎APT组织已经将Delphi 语言编写的该类样本工具化，仅需进行简单配置便可进行利用。

总结

双尾蝎APT组织的攻击手法一直以来没有较大的改变，此次利用巴勒斯坦选举的热点新闻事件进行情报刺探更是说明该组织善于运用社会工程学进行攻击，且持续活跃在中东地区。