【安全资讯】游走于中东的魅影--APT组织AridViper近期攻击活动分析

安恒信息中央研究院猎影实验室追踪到一起针对中东地区的网络间谍活动，经研究，此次活动与之前的攻击攻击活动存在许多相似之处，因此背后的攻击组织被归因为Gaza Cybergang Group2：AridViper。在本次攻击活动中，Gaza Cybergang Group2（AridViper）以“法塔赫运动和巴勒斯坦事业的未来”话题为诱饵再次针对巴勒斯坦地区目标进行网络钓鱼活动攻击。在深度跟踪此次活动后得到如下发现：

1. 在宏代码方面，样本未使用Download URL进行下一阶段负载下载，而是将数据流以字符串形式存储在宏代码中，随后释放在本地；

2. 流量特征方面，该组织弃用了过去以明文命名数据包字段的做法，转而使用随机字符替代；

3. 后续负载疑似为Pierogi Backdoor的C++版本，该版本中用到了开源CURL框架进行通信，以及开源的Nlohmann对C2服务器返回的json数据进行解析 。

攻击流程图