【安全资讯】Molerats APT组织针对中东国家展开间谍活动

引言

2021 年 12 月，研究人员发现了几个从约旦等中东国家上传到 VT 等 OSINT 源的基于宏的 MS Office 文件。经过分析，研究人员将此次间谍攻击活动归因于Molerats APT组织。

简况

活动中的这些MS Office文件包含与以色列和巴勒斯坦之间的地缘政治冲突有关的诱饵主题，Molerats APT 之前发起的攻击活动中使用了此类主题。这次活动的目标包括巴勒斯坦银行的关键成员、与巴勒斯坦政党有关的人，以及土耳其的人权活动家和记者。

此次活动自 2021 年 7 月以来一直处于活跃状态，攻击者仅在 2021 年 12 月切换了分发方式，并对 .NET 后门进行了细微更改。新的攻击链如下图：

新攻击链和旧攻击链的主要区别在于后门交付。这些 RAR/ZIP 文件很可能是使用网络钓鱼 PDF 传递的。后门提取主要 Dropbox 帐户令牌的方式存在细微差异。

归因

基于以下原因，研究人员将此次攻击归因于 Molerats APT 组：

• 后门使用开源和商业打包程序（ConfuserEx、Themida）
• 针对中东地区
• 使用 Dropbox API 进行整个 C2 通信
• 使用 RAR 文件进行后门交付
• 使用其他合法的云托管服务（如 Google Drive）来托管有效负载
• 在当前攻击基础设施上观察到的域 SSL 证书指纹与过去 Molerats APT 组使用的域重叠
• 在当前观察到的域的被动 DNS 解析重叠使用 Molerats APT组织过去使用的 IP 攻击基础设施