“狡猾的骆驼”APT 以航空、OT 为目标，提供 Polygot 文件

这个与伊朗有联系的民族国家组织首次亮相时，对阿联酋的目标进行了一次隐蔽、复杂且以激光为重点的网络间谍攻击。

一种可能与伊朗结盟的复杂高级持续性威胁（APT）一直在部署令人信服的商业电子邮件泄露（BEC）攻击，以提供双面多语言文件，从而悄悄地丢弃了一个简单但勤奋隐藏的后门。目标是什么？针对阿拉伯联合酋长国（UAE）少数重要运营技术（OT）公司的网络间谍活动。

据 Proofpoint 称，该活动主要针对某些航空和关键基础设施目标，其特点是强调隐身，该公司在自己的遥测中发现，在这个攻击链的对接端，只有不到五个组织处于这一攻击链的对端。然而，Proofpoint APT 工作人员研究员 Joshua Miller 认为可能有更多的目标和受害者。“我认为有一些组织成为目标，这些组织没有受到 Proofpoint 的保护 [因此不可见]，”他说。

薛定谔的文件（一种多语言网络攻击）

该活动始于去年 10 月下旬，当时名为“Crafty Camel”的威胁集群 Proofpoint 将未经授权访问属于印度南部电子产品制造商 INDIC Electronics 的企业电子邮件帐户作为武器。使用它，Crafty Camel 能够发送包含模仿 INDIC 真实域的 URL 的真实公司电子邮件。第一个链接重定向到第二个更具体的域，这触发了 .ZIP 存档的下载——这反过来又向受害者展示了一个 Excel 文件和两个 PDF。

“普通用户会打开手机想：'好吧，这是两个 PDF 和一个电子表格。当你谈论企业对企业的交易时，这是有道理的，“Miller 说。除了，这些文件都不像它们看起来的那样。

Excel 文件使用双扩展名，利用了 Windows 隐藏已知文件类型的偏好。假的 Excel 电子表格实际上是 Windows 快捷方式（.LNK）负责打开第一个 PDF 文件。然后，该 PDF 从第二个 PDF 中提取了一个可执行文件和一个 URL 文件，其中隐藏了恶意软件。

如果这听起来不像正常的 PDF 行为，那是因为这些文件都经历了双重生命。第一个文件兼作 HTML 应用程序（HTA）文件，第二个文件包含附加的 .ZIP 存档。换句话说，它们是多语言的：文件经过精心编程，可以同时用作两种不同的文件类型。

“这可不是一件容易的事。您必须以允许不同类型的文件读取器打开同一文件的方式进行设计。如果您在 PDF 阅读器中打开它，则需要以 PDF 格式打开。如果将其作为可执行文件打开，则它需要能够执行，“Miller 解释道。他补充说：“我们没有从 APT 那里看到很多这样的情况，但当我们与我们的电子犯罪分析师交谈时，他们确实看到了相当多的情况。

感染链的末端是“Sosano”，一个新记录的 Golang 后门。Sosano 的功能很轻 — 它能够读取和删除目录、执行 shell 命令以及下载更多有效负载 — 但在一个方面是独一无二的。后门通常被设计成轻量级的，以免引起注意，但 Sosano 恰恰相反：一个相对较大的 12MB 可执行文件，包含许多它甚至不使用的库。研究人员推测，它的开发人员故意在里面塞满垃圾，以使分析复杂化。

伊朗针对阿联酋工业目标的间谍活动

Proofpoint 将 Crafty Camel 作为自己的威胁集群进行跟踪。尽管如此，它还是确定了该组织与其他组织共享的多种策略、技术和程序（TTP），包括 TA451（又名 APT33、Elfin 或 Peach Sandstorm）和 TA455。TA451 和 TA455 都与伊朗伊斯兰革命卫队（IRGC）有联系。

与伊斯兰革命卫队的任何联系也可能有助于解释这些袭击的性质：老练、隐蔽、以间谍活动为重点，并且高度关注一个民族国家可能感兴趣的行业的少数组织。Proofpoint 没有透露具体细节，但解释说 Crafty Camel 针对的是阿联酋涉及卫星通信、航空和“关键交通基础设施”的组织。

“伊朗以一种对其势力范围有意义的方式利用网络。他们想把网络作为一种地缘政治工具。因此，如果他们使用某种可否认的网络攻击来追求这种情报，也就不足为奇了，“Miller 说。

他承认，“我们没有足够的时间说这绝对是伊朗，[但]当你考虑到他们对可能在这里针对的那种技术非常感兴趣时，这确实是有道理的。

信息来源：https://www.darkreading.com/ics-ot-security/crafty-camel-apt-aviation-ot-polygot-files

薛定谔的文件（一种多语言网络攻击）

伊朗针对阿联酋工业目标的间谍活动

发表回复 取消回复

发表回复取消回复