就像鼹鼠创建了一个复杂的地下隧道网络一样,被称为“Molerats”的网络威胁组织也熟练地在目标的数字防御中挖出一条路。自 2012 年被发现以来,这个阿拉伯语派系不断磨练网络间谍活动的技巧,重点关注整个中东的政治和军事目标。 Molerats结合使用 网络钓鱼、恶意软件和社会工程,熟练地穿越网络防御,收集敏感信息,同时基本上不被发现。
鼹鼠是谁?
Molerats,也称为加沙黑客团队、加沙网络帮、ALUMINUM SARATOGA 和 Extreme Jackal,是一个出于政治动机的高级持续威胁 ( APT ) 组织,至少自 2012 年以来一直活跃。该组织主要针对中东地区的实体,北非和美国,重点关注政府、电信和媒体组织。然而,他们的活动也被观察到影响到全球各个部门,这表明他们的网络间谍活动具有广泛的影响力和非歧视性。
使用 DALL-E 3 生成的鼹鼠插图
Molerats 的特点是利用社会工程策略、 鱼叉式网络钓鱼 活动和恶意软件部署来渗透其目标。该组织以其不断发展的工具包而闻名,其中包括一系列定制开发的后门,例如 Spark 和公开可用的恶意软件工具,这些工具为他们的间谍活动提供了便利。 Molerats 与包括“议会行动”在内的多项备受瞩目的活动有关联 ,强调他们持续致力于收集符合区域地缘政治利益的情报。
他们的行动不仅因其目标行业的广度而引人注目,而且还因其针对网络防御进步的战略演变而引人注目。这种适应性凸显了 Molerats 在全球网络安全领域所构成的持续威胁。
Molerats 的威胁参与者信息页面(来源: SOCRadar)
鼹鼠如何攻击?
Molerats 采用一系列复杂的技术和工具来开展网络间谍活动,主要侧重于社会工程和恶意软件来危害其目标。他们的攻击通常遵循结构化的方法,使他们能够保持秘密并有效地实现其目标。以下是其常见攻击媒介的概述:
鱼叉式网络钓鱼电子邮件: Molerats 策略的核心是鱼叉式网络钓鱼活动。这些电子邮件经过精心设计,看起来合法,通常模仿受信任的组织或个人的通信方式。电子邮件可能包含紧急请求或诱人的文档,提示收件人采取行动,例如启用宏或下载附件。
该图片是电子邮件界面的屏幕截图,显示了带有恶意 RAR 文件附件的网络钓鱼尝试。 (来源:卡巴斯基)
恶意附件和链接: 鱼叉式网络钓鱼电子邮件通常包含导致恶意负载的附件或链接。这些附件通常显示为良性文档,其名称与目标组织正在进行的事件或内部事务相关,从而提高了收件人打开它们的可能性。
使用合法服务传播恶意软件: 为了逃避安全系统的检测,Molerats 经常利用 Google Drive、Dropbox 和 GitHub等合法云服务 来托管其恶意软件。这种方法有助于将恶意流量隐藏在允许的和常见的网络流量中,从而使检测变得更具挑战性。
部署自定义和商业恶意软件: 一旦获得初始访问权限,Molerats 就会部署各种工具。其中包括定制开发的后门(例如 Spark)以及商用 RAT(远程访问木马)和信息窃取程序。该武器库使他们能够保持持久访问、 远程执行命令以及窃取敏感信息。
逃避技术: 鼹鼠在其行动中表现出敏锐的适应性,采用各种逃避技术来避免被发现。这包括加密命令和控制通信、使用模糊代码以及部署仅能够在特定环境(例如具有阿拉伯键盘布局的系统)中执行的恶意软件。
数据渗透: 成功渗透系统后,该组织将重点放在数据渗透上。被盗数据通常包括文档、凭证、电子邮件和其他敏感信息,可用于进一步渗透受害者的网络或实现其情报收集目标。
通过这些方法,Molerats 不断更新和调整其策略来对抗网络安全措施,使其成为该地区内外持续不断的威胁。他们融入合法流量并有效使用鱼叉式网络钓鱼技术的能力凸显了网络安全意识和防御不断进步的必要性。
鼹鼠的目标是什么?
Molerats 的网络间谍活动主要集中在中东和北非 (MENA) 地区,值得注意的活动还涉及土耳其和美国。这些特定地理区域的选择具有战略意义,符合该组织对可能影响地区和全球权力动态的敏感政治、军事和经济信息的兴趣。以下是他们在这些地区的目标行业的详细信息:
政府和外交机构: Molerats 高度重视渗透政府机构、部委和外交机构,包括大使馆。这些目标是政治和战略情报的丰富来源,可以提供对内政和外交政策决策、外交沟通和国家机密的见解。
航空航天和国防工业: 航空航天和国防行业的公司因其工作的敏感性而成为关键目标,这些行业通常涉及国家安全和先进技术。获得专有设计、国防计划和即将推出的军事项目可以提供显着的战略优势。
金融机构:金融 部门 的 目标包括银行和金融服务公司,它们掌握着关键的经济数据,可以提供经济情报以及对国家和私人金融资源的潜在杠杆作用。
记者和媒体机构: 记者不仅是敏感内幕信息的来源,而且还可能操纵媒体叙事以影响公众看法或获得调查曝光的预先警告。
软件开发人员: 通过针对软件开发人员和技术公司,Molerats 可以访问各种专有软件工具和产品,这些工具和产品可用于促进进一步的入侵或开发有助于其网络间谍活动的功能。
保险和零售: Molerats 针对保险和零售行业,将其关注范围扩展到传统的政府和电信目标之外,如 2019 年底发起的TopHat活动所示。
鼹鼠有哪些值得注意的行为?
多年来,Molerats 利用一系列复杂的定制开发恶意软件参与了数起备受瞩目的网络间谍活动。这些行动通常反映了该组织从目标部门收集情报的战略利益。以下是他们一些最著名的活动以及他们使用的特定恶意软件工具的概述:
“Molerats”行动 最初于 2012 年被发现,表明该组织开展了广泛的网络间谍活动,其目标不仅是以色列和巴勒斯坦的实体,还扩展到美国和英国。 Molerats最初倾向于广泛使用的 XtremeRAT,随着时间的推移,Molerats 的恶意软件工具包变得多样化,特别是合并了 Poison Ivy,这扩大了他们的操作能力。
他们的策略的特点是使用地缘政治主题的网络钓鱼电子邮件,利用区域危机来引诱目标打开恶意附件。这种对情境相关诱饵的战略使用凸显了鼹鼠的适应性和对全球安全的持续威胁。
针对 DustySky 活动中使用的阿拉伯语使用者的电子邮件(来源:ClearSky)
“DustySky 行动” 是 Molerats 组织发起的一项重大网络间谍活动,利用了一种名为“DustySky”的复杂恶意软件。 DustySky 于 2015 年 5 月首次被发现,是一种专为情报收集而设计的多阶段恶意软件。它针对各种高价值部门,包括政府和外交机构、航空航天和国防工业、金融部门、记者和软件开发商。
该活动涉及发送用希伯来语、阿拉伯语或英语制作的有针对性的电子邮件,并配备恶意附件,以感染中东地区(沙特阿拉伯、阿拉伯联合酋长国、埃及、伊拉克和以色列)选定受害者的系统,活动范围涵盖美国和欧洲。
TopHat 活动的恶意软件传播技术(来源:Unit42)
TopHat于 2019 年底启动,标志着 Molerats 的战略演变,他们将目标范围扩大到了通常的政府和电信部门之外,涵盖了保险和零售等行业。这种扩展到不太典型的目标表明了对新情报收集途径的潜在探索,或者可能是在不同环境中测试其网络攻击技术。
鱼叉式网络钓鱼仍然是他们选择的攻击媒介,使用采用社会工程策略的电子邮件,包括通过威胁暴露敏感信息来诱骗收件人激活恶意负载。使用的主要恶意软件是 Spark 后门,它允许攻击者远程控制受感染的系统,这证明了 Molerats 在网络间谍活动中的持续发展和适应性。
2021 年检测到的该活动的攻击链(来源 Zscaler)
Molerats 于 2021 年底发现的最新引人注目的活动展示了该组织在中东持续紧张的地缘政治局势中网络间谍活动的持续发展。这次行动涉及基于宏观的 MS Office 文件,其中嵌入了与 以色列-哈马斯冲突有关的诱饵,特别针对巴勒斯坦银行业的有影响力的个人、政治人物以及土耳其的活动人士和记者。
该活动以改进的 .NET 后门为特色,并进行了增强以更好地规避。 Molerats 使用ConfuserEx 和 Themida等复杂的打包工具 进行混淆,并利用 Dropbox 等 合法云服务 进行命令和控制通信,有效地将恶意操作与合法流量混合在一起,使检测变得复杂。
结论
总之,Molerats 已被证明是网络间谍领域的一支强大力量。这个出于政治动机的组织起源于中东,表现出针对不同行业和地区进行复杂网络攻击的深厚能力。利用定制恶意软件、鱼叉式网络钓鱼和社会工程策略,Molerats 表现出了卓越的适应能力和技术专长。他们参与 TopHat 等重要行动以及 Spark 和 DustySky 等恶意软件的部署,凸显了他们在数字间谍活动方面的战略意图和掌握。
针对鼹鼠的安全建议
为了防御 Molerats 和其他复杂的网络威胁行为者,组织应采用多层网络安全方法,包括:
高级电子邮件安全协议: 鉴于 Molerats 频繁使用鱼叉式网络钓鱼,组织实施高级电子邮件过滤解决方案至关重要。其中应包括网络钓鱼检测功能 和沙箱技术,以检查电子邮件附件和链接是否存在恶意内容。
电子邮件威胁分析器是一种安全工具,可以快速评估电子邮件以确定它们是否是诈骗。它提供实时分析,帮助组织及时识别和响应电子邮件威胁,以增强其网络安全措施。
持续的网络安全培训: 必须让员工和用户了解与鱼叉式网络钓鱼和其他形式的社会工程攻击相关的风险。定期进行培训可以显着降低员工陷入此类策略的可能性。
全面的端点安全: 部署全面的端点安全解决方案,提供实时监控和防御各种形式的恶意软件,包括那些专门设计的恶意软件和零日威胁。确保所有端点定期更新和修补对于维护强大的安全性至关重要。
战略网络分段: 通过分段网络,组织可以限制入侵的传播。实施严格的访问控制措施,并坚持最小权限原则,最大限度地减少用户和应用程序对基本功能的访问权限。
准备好的事件响应框架: 维护一个明确的事件响应计划,概述检测、遏制、消除网络攻击和从网络攻击中恢复的程序。该计划还应包括在事件期间与相关利益相关者进行沟通的协议。
例行安全评估: 定期进行安全审计和渗透测试,以识别和解决 IT 基础设施中的漏洞,增强组织对潜在漏洞的防御能力。
监控和日志记录: 实施全面的日志记录和监控解决方案,以持续审查日志中是否存在异常活动,特别是涉及访问敏感数据和关键系统的活动。
持续的情报共享和协作: 及时了解最新的网络威胁情报,并积极参与社区和政府的信息共享计划,以增强针对新兴威胁的防御态势。
鼹鼠的 MITRE ATT&CK TTP
| ID | 姓名 | 使用 | |
| T1547 | .001 | 引导或登录自动启动执行:注册表运行键/启动文件夹 | Molerats 将恶意文件保存在 AppData 和 Startup 文件夹中以保持持久性。[3 |
| T1059 | .001 | 命令和脚本解释器:PowerShell | Molerats 在目标机器上使用 PowerShell 植入。 |
| .005 | 命令和脚本解释器:Visual Basic | Molerats 在目标机器上使用了各种植入程序,包括用 VBScript 构建的植入程序。 | |
| .007 | 命令和脚本解释器:JavaScript | Molerats 在目标机器上使用了各种植入物,包括用 JS 构建的植入物。 | |
| T1555 | .003 | 来自密码存储的凭据:来自 Web 浏览器的凭据 | Molerats 使用公共工具 BrowserPasswordDump10 将浏览器中保存的密码转储到受害者身上。 |
| T1140 | 反混淆/解码文件或信息 | Molerats 在受害计算机上解压缩 ZIP 文件一次。 | |
| T1105 | Ingress 工具传输 | Molerats 使用可执行文件从不同来源下载恶意文件。 | |
| T1027 | 混淆的文件或信息 | Molerats 向受害者提供了 ZIP 文件中的压缩可执行文件。 | |
| T1566 | .001 | 网络钓鱼:鱼叉式网络钓鱼附件 | Molerats 发送了带有恶意 Microsoft Word 和 PDF 附件的网络钓鱼电子邮件。 |
| .002 | 网络钓鱼:鱼叉式网络钓鱼链接 | Molerats 已发送包含恶意链接的网络钓鱼电子邮件。 | |
| T1057 | 流程发现 | Molerats 参与者获取了受害者的活动进程列表,并将其发送到 C2 服务器。 | |
| T1053 | .005 | 计划任务/作业:计划任务 | Molerats 创建了计划任务来持续运行 VBScript。 |
| T1553 | .002 | 颠覆信任控制:代码签名 | Molerats 在恶意软件上使用了伪造的 Microsoft 代码签名证书。 |
| T1218 | .007 | 系统二进制代理执行:Msiexec | Molerats 使用 msiexec.exe 来执行 MSI 有效负载。 |
| T1204 | .001 | 用户执行:恶意链接 | Molerats 通过电子邮件发送恶意链接,诱骗用户打开 RAR 存档并运行可执行文件。 |
| .002 | 用户执行:恶意文件 | Molerats 通过电子邮件发送恶意文件,诱骗用户单击“启用内容”来运行嵌入式宏并下载恶意档案。 | |
原文始发于微信公众号(OSINT研习社):暗网简介:Molerats
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论