【安全资讯】Molerats APT组织针对中东国家展开间谍活动

猎影实验室 2022-01-21 14:03:16 995人浏览

引言

2021 年 12 月,研究人员发现了几个从约旦等中东国家上传到 VT 等 OSINT 源的基于宏的 MS Office 文件。经过分析,研究人员将此次间谍攻击活动归因于Molerats APT组织。

 

简况

活动中的这些MS Office文件包含与以色列和巴勒斯坦之间的地缘政治冲突有关的诱饵主题,Molerats APT 之前发起的攻击活动中使用了此类主题。这次活动的目标包括巴勒斯坦银行的关键成员、与巴勒斯坦政党有关的人,以及土耳其的人权活动家和记者。

 

此次活动自 2021 年 7 月以来一直处于活跃状态,攻击者仅在 2021 年 12 月切换了分发方式,并对 .NET 后门进行了细微更改。新的攻击链如下图:

新攻击链和旧攻击链的主要区别在于后门交付。这些 RAR/ZIP 文件很可能是使用网络钓鱼 PDF 传递的。后门提取主要 Dropbox 帐户令牌的方式存在细微差异。

 

归因

基于以下原因,研究人员将此次攻击归因于 Molerats APT 组:

  • 后门使用开源和商业打包程序(ConfuserEx、Themida)
  • 针对中东地区
  • 使用 Dropbox API 进行整个 C2 通信
  • 使用 RAR 文件进行后门交付
  • 使用其他合法的云托管服务(如 Google Drive)来托管有效负载
  • 在当前攻击基础设施上观察到的域 SSL 证书指纹与过去 Molerats APT 组使用的域重叠
  • 在当前观察到的域的被动 DNS 解析重叠使用 Molerats APT组织过去使用的 IP 攻击基础设施

失陷指标(IOC)45
APT Molerats 中东 其他
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。