伊朗APT33 针对航空航天和能源领域，并与破坏性恶意软件有关

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

当讨论具有破坏能力的疑似中东黑客组织时，许多人会不由自主地想到之前使用 SHAMOON（又名Disttrack ）攻击波斯湾组织的疑似伊朗组织。然而，在过去几年中，我们一直在追踪一个单独的、不太为人所知的疑似伊朗组织，该组织具有潜在的破坏能力，我们将其称为 APT33。我们的分析表明，APT33 是一个能力强大的组织，至少从 2013 年开始就一直在进行网络间谍活动。我们评估 APT33 的工作是应伊朗政府的要求进行的。

FireEye 的Mandiant 事件响应顾问最近进行的调查，结合 FireEye iSIGHT 威胁情报分析，让我们对 APT33 的行动、能力和潜在动机有了更全面的了解。本博客重点介绍了我们的部分分析。我们关于 FireEye 威胁情报的详细报告包含对我们的支持证据和分析的更全面审查。我们还将在 9 月 21 日美国东部时间上午8 点的网络研讨会上进一步讨论这个威胁组织。

APT33 的目标组织涉及多个行业，总部位于美国、沙特阿拉伯和韩国。APT33 对涉及军事和商业领域的航空业组织以及与石化生产相关的能源业组织表现出特别浓厚的兴趣。

从 2016 年中到 2017 年初，APT33 攻击了美国一家航空航天领域的组织，并瞄准了位于沙特阿拉伯的一家拥有航空控股的商业集团。

在同一时期，APT33 还针对一家从事炼油和石化行业的韩国公司展开攻击。最近，在 2017 年 5 月，APT33 似乎针对一家沙特组织和一家韩国企业集团展开攻击，其使用的恶意文件试图利用沙特阿拉伯一家石化公司的职位空缺来吸引受害者。

我们评估了针对多家与沙特阿拉伯有航空相关合作关系的公司进行攻击的行为，这表明 APT33 可能希望了解沙特阿拉伯的军事航空能力，以增强伊朗的国内航空能力或支持伊朗针对沙特阿拉伯的军事和战略决策。

我们认为，针对沙特组织的目标可能是试图了解区域竞争对手，而针对韩国公司的目标可能是由于韩国最近与伊朗石化行业的合作以及韩国与沙特石化公司的关系。伊朗表示有兴趣发展其石化行业，并经常将这种扩张视为与沙特石化公司的竞争。APT33 针对这些组织的目标可能是因为伊朗希望扩大自己的石化生产并提高其在该地区的竞争力。 

此次针对能源和石化行业的组织的普遍攻击类似于之前观察到的其他疑似伊朗威胁组织所针对的组织，表明伊朗行为者对这些行业有着共同的兴趣。

图 1 显示了 APT33 目标的全球范围。

APT33 向从事航空业相关工作的员工发送鱼叉式网络钓鱼电子邮件。这些电子邮件包含以招聘为主题的诱饵，并包含指向恶意 HTML 应用程序 (.hta) 文件的链接。.hta 文件包含职位描述和指向热门就业网站上与目标个人相关的合法招聘信息的链接。

图 2 提供了一个示例 .hta 文件摘录。对于用户来说，该文件似乎是合法招聘信息的良性引用；然而，用户不知道的是，.hta 文件还包含自动下载自定义 APT33 后门的嵌入代码。

我们评估 APT33 在 2016 年使用了公开的 ALFA TEaM Shell（又名 ALFASHELL）中的内置网络钓鱼模块向目标个人发送了数百封鱼叉式网络钓鱼电子邮件。许多网络钓鱼电子邮件看似合法 - 它们提到了特定的工作机会和薪水，提供了被欺骗公司就业网站的链接，甚至包括被欺骗公司的平等机会招聘声明。然而，在少数情况下，APT33 运营商保留了 shell 网络钓鱼模块的默认值。这些似乎是错误，因为在发送带有默认值的电子邮件几分钟后，APT33 向同一收件人发送了删除了默认值的电子邮件。

如图 3 所示，ALFA Shell 中的“虚假邮件”钓鱼模块包含默认值，包括发件人电子邮件地址（solevisible@gmail[.]com）、主题行（“您的网站被我黑了”）和电子邮件正文（“嗨，亲爱的管理员”）。

图 4 显示的是包含 shell 默认值的示例电子邮件。

APT33 注册了多个域名，伪装成沙特阿拉伯航空公司和西方组织，这些组织与沙特军用和商用飞机有合作关系，为沙特军用和商用飞机提供培训、维护和支持。根据观察到的攻击模式，APT33 可能在鱼叉式网络钓鱼电子邮件中使用这些域名来攻击受害组织。    

以下域名伪装成这些组织：波音公司、Alsalam 飞机公司、诺斯罗普·格鲁曼航空阿拉伯公司 (NGAAKSA) 和 Vinnell Arabia。

boeing.servehttp[.]com

alsalam.ddns[.]net

ngaaksa.ddns[.]net

ngaaksa.sytes[.]net

vinnellarabia.myftp[.]org

波音公司、萨拉姆飞机公司和沙特航空工程工业公司于 2015 年合资在沙特阿拉伯创建了沙特旋翼机支持中心，目标是为沙特阿拉伯的旋翼机队提供服务，并在沙特航空供应基地建立一支能够自给自足的劳动力队伍。

Alsalam 飞机公司还提供军用和商用维护、技术支持以及室内设计和翻新服务。

其中两个领域似乎模仿了诺斯罗普·格鲁曼的合资企业。这些合资企业——Vinnell Arabia 和 Northrop Grumman Aviation Arabia——为中东地区（特别是沙特阿拉伯）提供航空支持。Vinnell Arabia 和 Northrop Grumman Aviation Arabia 都参与了培训沙特阿拉伯国民警卫队的合同。

我们发现 APT33 恶意软件与一名伊朗人员有关，该人员可能受雇于伊朗政府，对其对手实施网络威胁活动。

我们评估使用句柄“xman_1365_x”的参与者可能参与了 APT33 的 TURNEDUP 后门的开发和潜在使用，因为许多 TURNEDUP 样本的处理调试 (PDB) 路径中包含该句柄。图 5 中可以看到一个示例。

Xman_1365_x 还是 Barnamenevis 伊朗编程和软件工程论坛的社区经理，并在著名的伊朗 Shabgard 和 Ashiyane 论坛注册了账号，但我们没有发现证据表明此人曾经是 Shabgard 或 Ashiyane 黑客组织的正式成员。

公开来源报告将“xman_1365_x”攻击者与“Nasr 研究所”联系起来，据称该研究所相当于伊朗的“网络军队”，由伊朗政府控制。另外，其他证据将“Nasr 研究所”与 2011-2013 年针对金融行业的攻击联系起来，这些攻击是一系列被称为“阿巴比尔行动”的拒绝服务攻击。2016 年 3 月，美国司法部公布了一份起诉书，其中 提到 两名个人被伊朗政府雇佣，负责建立攻击基础设施并进行分布式拒绝服务攻击，以支持“阿巴比尔行动”。虽然起诉书中描述的个人和活动与本报告中讨论的不同，但它提供了一些证据表明与“Nasr 研究所”有关的个人可能与伊朗政府有联系。

APT33 使用的其中一个植入程序（我们称之为 DROPSHOT）与擦除器恶意软件 SHAPESHIFT 有关。开源研究表明，SHAPESHIFT 可能曾被用来攻击沙特阿拉伯的组织。

虽然我们仅直接观察到 APT33 使用 DROPSHOT 来传递 TURNEDUP 后门，但我们已在野外发现了多个 DROPSHOT 样本，这些样本会释放 SHAPESHIFT。SHAPESHIFT 恶意软件能够擦除磁盘、擦除卷和删除文件，具体取决于其配置。DROPSHOT 和 SHAPESHIFT 都包含波斯语文物，这表明它们可能是由波斯语使用者开发的（波斯语是伊朗的主要语言和官方语言）。

虽然我们没有直接观察到 APT33 使用 SHAPESHIFT 或以其他方式进行破坏性操作，但 APT33 是我们观察到的唯一使用 DROPSHOT 植入器的组织。DROPSHOT 可能在伊朗的威胁组织之间共享，但我们没有任何证据表明情况确实如此。

2017 年 3 月，卡巴斯基发布了一份报告，将 DROPSHOT（他们称之为 Stonedrill）与 SHAMOON 的最新变种（称为 Shamoon 2.0）进行了比较。他们表示，这两种擦除器都采用了反模拟技术，并被用来针对沙特阿拉伯的组织，但也提到了一些差异。例如，他们表示 DROPSHOT 使用更先进的反模拟技术，利用外部脚本进行自我删除，并使用内存注入而不是外部驱动程序进行部署。卡巴斯基还指出了资源语言部分的差异：SHAMOON 嵌入阿拉伯-也门语言资源，而 DROPSHOT 嵌入波斯语（波斯语）资源。

我们还观察到，使用 SHAMOON 和 APT33 的组织在目标定位和战术、技术和程序 (TTP) 方面存在差异。例如，我们观察到 SHAMOON 被用来针对中东的政府组织，而 APT33 则针对中东和全球的多个商业组织。APT33 还在其行动中使用了各种自定义和公开可用的工具。相比之下，我们尚未观察到与 SHAMOON 相关的行动的完整生命周期，部分原因是擦除器会删除攻击生命周期早期阶段的痕迹。

无论 DROPSHOT 是否是 APT33 独有的，该恶意软件和威胁活动似乎都与使用 SHAMOON 的组织不同。因此，我们评估可能有多个伊朗威胁组织能够实施破坏性行动。

APT33 针对航空航天和能源领域的组织最符合国家利益，这意味着威胁行为者最有可能受到政府支持。再加上行动时间（恰逢伊朗工作时间）以及使用多种伊朗黑客工具和名称服务器，我们进一步认为 APT33 可能代表伊朗政府开展行动。

APT33 威胁行为者活跃的时间表明，他们活动所在的时区接近协调世界时 (UTC) 之前的 04:30。观察到的攻击者活动时间与伊朗夏令时（ UTC 为 +0430）相吻合。

APT33 的活动时间主要与伊朗的工作周（周六至周三）相符。如图 6 所示，周四攻击者活动较少，这便说明了这一点。公开消息来源称，伊朗的工作周为周六至周三或周六至周四，周四政府办公室休息，一些私营企业周四只营业半天。许多其他中东国家选择周五和周六作为周末。伊朗是少数几个采用周六至周三工作周的国家之一。

APT33 利用了其他疑似伊朗威胁组织使用的伊朗流行黑客工具和 DNS 服务器。APT33 使用的公开后门和工具（包括 NANOCORE、NETWIRE 和 ALFA Shell）都可以在伊朗黑客网站上找到，与伊朗黑客有关，并被其他疑似伊朗威胁组织使用。虽然这本身并不能得出结论，但使用公开的伊朗黑客工具和流行的伊朗托管公司可能是 APT33 熟悉它们的结果，并支持 APT33 可能位于伊朗的评估。

根据观察到的目标，我们认为 APT33 从事战略间谍活动，目标是多个行业的地理分布各异的组织。具体而言，以航空航天和能源领域的组织为目标表明该威胁组织可能正在寻找能够使政府或军事支持者受益的战略情报。APT33 对航空业的关注可能表明该组织希望深入了解区域军事航空能力，以增强伊朗的航空能力或支持伊朗的军事和战略决策。他们以能源领域的多家控股公司和组织为目标，这与伊朗国家的增长优先事项相一致，尤其是在增加石化生产方面。我们预计 APT33 活动将继续覆盖广泛的目标实体，并可能根据伊朗利益扩展到其他地区和行业。

APT33 使用多个自定义后门表明他们可以使用自己的一些开发资源，从而支持他们的行动，同时还可以使用公开可用的工具。与 SHAPESHIFT 的联系可能表明 APT33 参与了破坏性行动，或者他们与另一个进行破坏性行动的伊朗威胁组织共享工具或开发人员。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：伊朗APT33 针对航空航天和能源领域，并与破坏性恶意软件有关