cybereason:Molerats 組織濫用云服務的攻擊活動分析
00 摘要
2020年2月,Cybereason報告稱發現了Spark和Pierogi后門,其很可能被用于針對巴勒斯坦官員的定向攻擊活動。研究人員認為攻擊是由Molerats組織(又名Gaza Cybergang)發動的,這是一個講阿拉伯語,有政治動機的APT組織。該組織自2012年以來一直在中東地區活動。
從發現該組織以來,Cybereason Nocturnus團隊一直在追蹤該組織,并且在最近幾個月中發現了一個新活動,該活動利用了兩個之前未被發現的后門(SharpStage,DropBook)和一個名為MoleNet的下載器。新的惡意軟件庫專門用于秘密間諜活動,主要針對中東地區講阿拉伯語的目標,包括巴勒斯坦,阿聯酋、埃及以及土耳其的非阿拉伯語的目標。
這次最新的活動利用社會工程學來發送釣魚文件,其中包括與當前中東事務有關的各種誘餌主題。其中釣魚活動的主題包括:
提及以色列與鄰國阿拉伯國家的關系:特別是媒體報道的沙特王儲穆罕默德·本·薩勒曼殿下(Mohammed bin Salman)、美國國務卿邁克·蓬佩奧(Mike Pompeo)和以色列總理本雅明·內塔尼亞胡(Benjamin Netanyahu)最近的會晤。
提及巴勒斯坦的政治事務:該活動利用了與巴勒斯坦政治事件和公眾人物有關的不同主題:
哈馬斯內部選舉
巴勒斯坦人民斗爭陣線(PPSF)秘書長艾哈邁德·馬吉達拉尼博士
據稱可能是由巴勒斯坦解放人民陣線(PFLP)撰寫的虛假文件,其中詳細描述了為解放巴勒斯坦人民陣線53周年慶祝活動所做的準備工作
新發現的后門是與之前報道的Spark后門一起發送的,這與之前的活動有相似之處,進一步說明了對Molerats身份的認定。
SharpStage和DropBook后門都是以一種隱蔽的方式運行的,利用了合法的云存儲服務Dropbox 從受害者計算機中竊取被盜的信息,以此來逃避檢測。此外,還發現,DropBook是一個基于Python的后門,利用了社交媒體平臺Facebook,通過創建虛假賬戶來控制后門。DropBook與武器庫中的其他間諜工具不同,因為它只依賴虛假的Facebook賬戶,來接收攻擊者的控制指令。
此外,研究人員還發現了土耳其語的釣魚文件。
最后,研究人員還發現了Molerats組織的另一個活動,其使用了Pierogi后門的一個新變種來攻擊同樣感染了Spark、SharpStage和DropBook后門的類似目標。這種技術重疊,讓研究人員認為Molerats和APT-C-23 (Arid Viper)組織之間存在關聯,并且他們都隸屬于Gaza Cybergang組織。
圖1 Molerats最新活動的感染鏈
關鍵字:Molerats組織、釣魚郵件、濫用云服務
01 主要發現
攻擊者是molerats(又名Gaza Cybergang):一個說阿拉伯語、有政治動機的組織,自2012年以來一直在中東地區活動。
Molerats開發的新間諜工具:Cybereason發現了兩種名為SharpStage和DropBook的新后門,以及MoleNet 下載器,這些都能讓攻擊者執行任意代碼,并收集敏感數據,以從受感染的計算機中竊取數據。新發現的后門與之前報道的Spark后門(當時歸因于Molerats)一起使用。
針對整個中東地區:Cybereason認為,這些活動運營者將目標對準中東地區的高級政治人物和政府官員,包括巴勒斯坦、阿聯酋、埃及和土耳其。
政治釣魚主題:用來引誘受害者的主題包括以色列與沙特的關系、哈馬斯選舉、巴勒斯坦政治人物以及其他近期政治事件,包括最近沙特王儲穆罕默德·本·薩勒曼殿下(Mohammed bin Salman)、美國國務卿邁克·蓬佩奧(Mike Pompeo)和以色列總理本雅明·內塔尼亞胡(Benjamin Netanyahu)最近的會晤。
濫用Facebook,Google Docs,Dropbox和Simplenote平臺:新發現的DropBook后門使用偽造的Facebook帳戶或Simplenote進行命令和控制(C2),SharpStage和DropBook都實現了Dropbox客戶端,以從其客戶端中竊取數據并轉移到云存儲,以及存儲其間諜工具。
與Pierogi后門的連接:分析顯示,新發現的后門Spark和先前報告的Pierogi后門之間存在相關性。Cybereason認為它們是由具有相同利益的不同團隊或同一威脅攻擊者開發的。
使用Quasar RAT工具:攻擊者使用了新的間諜工具,從DropBox下載了其他有效負載,其中包括 Gaza Cybergang使用過的開源工具Quasar RAT。
02 Molerats的新惡意軟件分析
在尋找對中東的威脅時,Cybereason Nocturnus團隊偶然發現了一些獨特的惡意軟件樣本,經分析是沒有文檔記錄的。這兩個后門分別是SharpStage,和DropBook,還有一個叫MoleNet 的下載器,它們在TTPs和釣魚的主題上有許多相似之處,同時也使用了Spark后門(之前Molerats組織使用過)。
眾所周知,molerat使用政治和中東主題的網絡釣魚文件來引誘他們的受害者,這次他們利用最近發生的政治事件,包括以色列和阿拉伯國家之間的和平協議。
圖2 基礎設施概覽
其中一份釣魚文件是一個名為“mb - israel”的PDF文件,其中引用了以色列總理本杰明·內塔尼亞胡與沙特王儲穆罕默德·本·薩勒曼殿下最近的會談:
圖3 據VirusTotal稱,PDF格式的釣魚文檔的檢測率為零
圖4 MBS-Israel.pdf文件的內容
PDF內容誘導受害者從Dropbox或谷歌云端硬盤下載受密碼保護的壓縮包。
表1
| 嵌入式鏈接 | 壓縮包類型和SHA-256哈希 |
|---|---|
| https://www.dropbox[.]com/s/r81t6y7yr8w2ymc/MOM.zip?dl=1 | Zip 壓縮包58f926d9bd70c144f8697905bf81dfff046a12929639dfba3a6bd30a26367823 |
| https://drive.google[.]com/uc?export=download&id=1NnMlUPwkxK4_wAJwrqxqBAfdKCPDxyeh | RAR 壓縮包d7675b5c1a47b876b505bf6fd8dc9ea3b35520c13408450df8807a1a5c24da68 |
圖5 使用PDF下載的有效負載
兩個新文件是SharpStage和DropBook:
| 文件名 | 分類 | SHA-256 |
|---|---|---|
| Details Crown Prince held’secret meeting’ with IsraeliPM.Nov.23.20.MoM.exe | SharpStage 后們 | 69af17199ede144d1c743146d4a7b7709b765e57375d4a4200ea742dabef75ef |
| Details of MBS meeting withthe US Secretary of State.Nov.23.20.MoM.exe | Spark 后門 | 54eadcd0b93f0708c8621d2d8d1fb4016f617680b3b0496343a9b3fed429aaf9 |
| Talking points for meeting.exe | DropBook后門 | 2578cbf4980569b372e06cf414c3da9e29226df4612e2fc6c56793f77f8429d8 |
有趣的是,在不同的惡意軟件中,Gaza Cybergang偽造的微軟Word圖標始終保持不變:
表3
| SharpStage | DropBook | Pierogi | Spark |
|---|---|---|---|
 |  |  |  |
根據VirusTotal的報告,新發現的SharpStage后門的檢測率非常低:
圖6 SharpStage樣本的檢測率
Cybereason Nocturnus團隊還發現了SharpStage的C2域名中使用不同主題的URL:
http://artlifelondon[.]com/hamas_internal_elections.rar
https://www.artlifelondon[.]com/Hamas.php
https://forextradingtipsblog[.]com/SaudiRecognitionofIsrael.php
https://forextradingtipsblog[.]com/AhmedMajdalani.php1. SharpStage后門的分析
SharpStage后門是具有后門功能的.NET惡意軟件。Cybereason Nocturnus團隊能夠識別出SharpStage后門的三種變體,這些變體正在不斷開發中,其中兩個共享硬編碼互斥體71C19A8DC5F144E5AA9B8E896AE0BFD7:
圖7 SharpStage 代碼互斥體
這些樣本的編譯時間在2020年10月4日至11月29日之間。這三個樣本都包含相似的功能(只是幾個函數有一些變化),并著重于代碼混淆、代碼模塊化、日志記錄和連接性檢查,以便于進一步執行。此外,每個都有自己的持久性組件。
SharpStage后門具有以下功能,其中某些功能取決于從C2接收的命令:
截屏:SharpStage后門可以捕獲受害者的屏幕。
針對講阿拉伯語的用戶:SharpStage檢查受害者的機器是否為阿拉伯語,從而避免在不相關的設備上執行,并且能夠避免大多數沙箱。
Dropbox客戶端:SharpStage后門通過API實現了一個Dropbox客戶端,通過與Dropbox服務器通信,可以下載其他模塊、上傳竊取的數據。
Powershell、命令行和WMI執行:當收到C2的命令時,SharpStage可以執行任意命令。
下載并執行其他文件:該惡意軟件能夠下載并執行其他有效負載。
解壓縮包:除了下載,SharpStage還可以解壓從C2下載的壓縮包,其中包含SharpStage有效負載和持久性模塊的數據。
如下圖所示,Cybereason檢測到SharpStage的感染鏈。在此變體中,持久性組件是“shearS.exe”。其為下載的“shear”樣本(SharpStage有效負載)編寫計劃任務。一般來說,無論SharpStage的主模塊叫什么名稱,持久化組件的名稱都包含“S”:
圖8 SharpStage的進程樹
(1)SharpStage Dropper(早期版本)
第一個變種包裝在dropper中, 該dropper將有效負載(SharpStage后門)寫入temp和startup文件夾:
圖9 從系統中檢索temp和startup文件夾
惡意軟件的復制和執行是通過創建一個Windows資源管理器實例來完成的:
圖10 創建Windows資源管理器進程
此外,dropper通過創建注冊表鍵值,實現開機自啟動:
圖11 通過注冊表創建持久性
(2)第二階段植入物(后續版本)
從Cybereason流程樹中可以看出,從C2下載了名為“ shear”的SharpStage新版變種,以及一個名為“ shearS”的小文件。其中“ shearS”為“ shear”創建了持久性,并且收集一些受害機器的軟硬件信息:
圖12 由持久化組件收集系統信息
當創建持久性時,schtasks被用來創建一個新的“share”計劃任務。只需通過刪除“ shearS”末尾的“ S”來完成對以下“ shear”的引用:
圖13 在持久性組件中創建計劃任務
(3)SharpStage核心功能
Dropper從C2下載的SharpStage后門具有多種功能,包括Dropbox客戶端功能以及檢查當前機器是否為阿拉伯語,從而實現只在目標機器上執行惡意功能,逃避沙箱的檢測(通常運行沙箱的系統默認語言是英文)。
在進行語言檢查之前,后門會自動捕獲屏幕并將圖像保存在%temp%文件夾中:
圖14 捕獲受害者的屏幕
如上所述,惡意軟件會檢查是否存在阿拉伯語鍵盤。如果找到這樣的鍵盤布局,“startLoop”標志將被設置為“true”,然后繼續執行到連接C2并獲得進一步指令:
圖15 檢查阿拉伯語鍵盤并更新相應的標志
GetUpload函數中含有后門功能。在連接C2之后,SharpStage啟動解析命令:
圖16 連接C2并初始化與命令相關的變量
如下圖所示,該惡意軟件從C2解析與命令行、Powershell和WMI執行相關的命令,然后初始化相關變量。此外,為了下載另一個文件,它啟動了一個Dropbox客戶端——使用“AcessTo”變量(之前從C2獲得的一個令牌)啟動的:
圖17 從C2解析命令并啟動Dropbox客戶端
攻擊者的Dropbox帳戶用于下載其他文件,還可以使用網址和安全鏈接來完成下載:
圖 18 下載其他文件
下面的代碼實現了命令執行的切換條件,并根據收到的命令使用命令行、Powershell或WMI:
圖19 命令行解析
后期版本的SharpStage也會在執行時拋出一個誘餌文件:
圖20 文檔被釋放并打開,如代碼中所示
誘餌文件包含據稱由解放巴勒斯坦人民陣線(PLFP)媒體部門編寫的資料,其中描述了為紀念PLFP成立53周年而做的準備工作:
圖21 SharpStage誘餌文件
根據文檔的元數據顯示,文檔的作者是一個名為“ ABU-GHASSAN”的人。在PFLP中,該名可能是PFLP秘書長艾哈邁德·薩阿達特(Ahmad Sa’adat)的名字,被稱為ABU-GHASSAN。Cybereason無法確定文件的真實性,因此,目前尚不清楚該文件是被盜的真實文件,還是攻擊者偽造的文件,其看起來像是來自前線高級官員的文件:
圖22 誘餌文檔元數據
2. DropBook后門的分析
圖23 DropBook的進程樹
在釣魚攻擊中,dropbook.exe是使用python語言開發并使用PyInstaller打包的后門程序。根據TTPs和代碼相似性,Cybereason懷疑DropBook的作者與開發JhoneRAT的團隊相同。JhoneRAT是另一個基于python的惡意軟件,在針對中東的攻擊活動中被發現,也有報道稱它與Spark后門程序有關。
DropBook后門具有以下功能:
偵察:收集已安裝的程序和文件名
Shell命令:執行從Facebook / Simplenote收到的Shell命令
下載和執行其他文件:DropBook能夠使用DropBox下載和執行其他有效負載
針對說阿拉伯語的用戶:DropBook檢查受感染機器上是否存在阿拉伯語,從而避免了在無關的機器上執行:
圖24 反編譯python腳本的全局變量
只有當受感染的計算機上安裝了WinRAR時,DropBook才會執行,這可能是因為在以后的攻擊中需要使用它。此外,后門會檢查鍵盤語言,并且只有在配置了阿拉伯語的情況下才運行,Molerats經常使用這種方法。
為了逃避基于網絡的檢測,DropBook通過合法的網站和服務(包括Dropbox,Facebook和Simplenote(用于保存便箋的服務))與運營者進行通信。這樣一來,后門的網絡流量就看起來合法,并且不太可能引起太多懷疑。DropBook使用Dropbox進行文件下載和上傳,并使用Facebook / Simplenote帖子來傳遞來自攻擊者的C2命令。
DropBook的執行流程如下:
- 獲取Dropbox API令牌:DropBook從假Facebook帳戶上的帖子中獲取Dropbox令牌。后門的操作員可以編輯帖子,以更改后門使用的令牌。如果DropBook無法從Facebook獲取令牌,它將嘗試從Simplenote獲取令牌:
圖25 Facebook中的Dropbox令牌
偵察活動:收到令牌后,后門會在“ Program Files”目錄和桌面中收集所有文件和文件夾的名稱,然后將該列表寫入“C:\ Users \%username%\ info.txt”文件中,然后使用當前登錄到計算機上的用戶名將文件上傳到Dropbox。
從Facebook獲取命令:DropBook檢查偽造的Facebook帳戶的帖子,這一次是為了接收要在受感染機器上執行的命令。攻擊者能夠編輯帖子,以便向后門提供新的指令和命令,例如:
對所有受害者或特定受害者執行任意shell命令
設置可能在稍后階段下載的有效負載的名稱
設置查詢新命令之間的睡眠時間
Cybereason發現C2 Facebook賬戶上發布了以下命令:
表4
| 命令 | 目的 |
|---|---|
| all::tasklist | 在所有受感染的計算機上執行“tasklist” |
| all::dir | 在所有受感染的計算機上執行“ dir” |
all: | 設置要下載的下一個文件的名稱為為“soundplyer.exe” |
all: | 將睡眠時間設置為30秒 |
| all: | 設置要下載的下一個文件的名稱為“Kd.exe” |
| all::schtasks | 在所有受感染的計算機上執行“ schtasks” |
| all: | 設置要下載的下一個文件的名稱為“Firefox.exe” |
| all:: %comspec% %userprofile%\Firefox.exe | 可能是試圖執行“ Firefox.exe” |
| all:: %userprofile%\Firefox.exe | 可能是試圖執行“ Firefox.exe” |
| all::schtasks /create /sc minute /mo 1 /tn”Firefox” /F /tr “"%userprofile%\Firefox.exe"“ | 為“ Firefox.exe”創建計劃任務 |
| all::schtasks /create /sc minute /mo 1 /tn”soundplyer” /F /tr “"%userprofile%\soundplyer.exe"“ | 為“ soundplyer.exe”創建計劃任務 |
| all: | 設置要下載的下一個文件的名稱為“PView.exe” |
| all::dir %userprofile% | 在%userprofile%上執行“ dir” |
| all::schtasks /create /sc minute /mo 1 /tn”PView” /F /tr “"%userprofile%\PView.exe"“ | 為“ PView.exe”創建計劃任務 |
| all: | 設置要下載的下一個文件的名稱為“ DG3.exe” |
通過使用Facebook的“post edit history”功能,可以查看攻擊者曾下發的命令:
圖26 Facebook的post edit history功能揭示了攻擊者使用的Shell命令
- 下載其他的有效負載:DropBook可以下載并執行Dropbox上存儲的擴展負載,例如:MoleNet Downloader、Quasar RAT、SharpStage后門、DropBook的更新版本以及Process Explorer(Microsoft用來監視Windows進程的合法工具), 攻擊者通常將其用于偵察和轉儲憑據。
除了發布命令外,偽造的Facebook個人資料為空,由此可以推測:創建該個人資料只是為了用作后門的命令和控制:
圖27 偽造的Facebook個人資料用作DropBook的C2
3. MoleNet 下載器的分析
此活動中發現的最有趣的工具之一是MoleNet下載器。盡管以前沒有文檔記錄該工具,但Nocturnus團隊發現有證據表明,該工具至少自2019年以來一直在開發中,其基礎設施可追溯到2017年,仍處于監視之下。
MoleNet下載器只是Molerats武庫中的工具之一,在該活動中發現,其是由DropBook后門傳遞的,與之一起被傳遞的還有SharpStage和Spark后門。MoleNet下載器也是用.NET編寫的。
MoleNet下載器具有以下功能:
執行獲取本機信息的WMI命令,包括:
SELECT * FROM FirewallProduct
SELECT * FROM AntivirusProduct
SELECT * FROM Win32_PhysicalMedia
SELECT * FROM Win32_ComputerSystem
SELECT * FROM Win32_DiskDrive
SELECT * FROM Win32_LogicalDiskToPartition
檢查調試器:MoleNet執行多次檢查以查看是否正在調試,例如查詢IsDebuggerPresent和CheckRemoteDebuggerPresent這兩個API。
使用命令行重新啟動計算機:MoleNet通過運行shutdown命令行來重新啟動受感染的計算機。
圖28 使用命令行重新啟動受害者的計算機
- 向C2提交大量本機信息:以下是發送到C2的參數的示例:
name = {0}&subject = {1}&OS = {2}&category = {3}&priority = {4}&message = {5}&FileLocation = {6}&email = {7}&MyVer = {8}&XMLDoc = {9} &PCTypeOne = {10}
下載其他有效負載:MoleNet可以從C2下載其他有效負載。
持久駐留:MoleNet使用Powershell通過執行powershell 命令 reg add“ HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run” / f / v Firefox / t reg_sz / 在受感染的計算機上實現持久化
MoleNet的新版本似乎使用以下url與攻擊者進行通信:
hxxps://exchangeupdates[.]com/enterprise/Wenterprise.php
hxxps://exchangeupdates[.]com/enterprise/Senterprise.php
發布的MoleNet舊版本
通過跟蹤指示TTP和字符串的工具,Cybereason發現了一個更早的樣本,可以追溯到2020年7月,其與同一域名exchangeupdates[.]com通信。
進一步可以發現更早的樣本可以追溯到2019年。該樣本與另一個域名進行通信 upgrade.newshelpyou [.com]。卡巴斯基在2017年的一份報告中提到了此域名,詳細介紹了Gaza Cybergang組織的各種活動 。但是,該報告未包含有關MoleNet下載器的信息。
4. Spark后門在土耳其的活動
Cybereason的研究人員還觀察到Spark后門最近針對講土耳其語的個人的活動。目前還不清楚土耳其的活動是否與上述活動有關,但這兩個活動都使用了MoleRats的Spark后門。值得注意的是,它的目標是講土耳其語的個人,而Spark后門專門檢查受感染機器上的阿拉伯語設置。
在針對土耳其的活動中發現的Spark后門的一個dropper文件名:“YEN??N?AAT???NGEREKL?BELGELER.exe”(翻譯為:新建所需的文件)。一旦惡意軟件執行,它就會打開土耳其語的誘餌文件,以迷惑受害者:
文件名: YEN? ?N?AAT ???N GEREKL? BELGELER.exe
SHA-256:5b0693731f100b960720d67bda6f3e6df1c25b7d5024d11cf61c13e7492f18cf
誘餌文件的 SHA-256:dc9aa462547e1436c7254a78c907915d41f771a3a66d2f4656930724cbf3914d
圖29 土耳其語的誘餌文件,以及Spark后門
針對土耳其的活動似乎有一個獨特的C2:brooksprofessional[.]com
03 關聯到的Pierogi后門
在調查過程中,還發現了新發現的惡意軟件庫和之前發現的Pierogi后門間的關系:似乎新發現的后門的某些受害者也是Pierogi新變體的攻擊目標,歸因于APT-C-23( 與Molerats組織相關,同樣隸屬于Gaza Cybergang組織)。
對Pierogi的投放方式和網絡釣魚主題的分析表明,其與本報告中提到的活動以及Molerats和APT-C-23過去的活動有很多的相似之處。
例如,傳遞Pierogi后門的多個惡意可執行程序,也使用相似的Microsoft Word圖標來偽裝。此外,發送給受害者的網絡釣魚和誘騙內容也有相似之處:
圖30 VirusTotal上的Pierogi后門dropper的檢測率低
文件名:general secretariat for the council of ministers 1839-2021.exe
SHA-256:2d03ff4e5d4d72afffd9bde9225fe03d6dc941982d6f3a0bbd14076a6c890247
圖31 在巴勒斯坦上傳的Pierogi dropper文件
- PDF誘餌文件的SHA-256:b1ac14df66e1b10b3c744431add3d99a7eb39714b61253fb22dd3a00cba61e05
圖32 Pierogi釋放的誘餌文件內容
誘餌文檔的另一個示例是下面的文件,該文件與Pierogi后門一起釋放:
文件名:appreved structural-85763489756-5629857-docx.exe (originally with typo)
SHA-256:b61fa79c6e8bfcb96f6e2ed4057f5a835a299e9e13e4c6893c3c3309e31cad44
圖33 Pierogi 后門釋放的誘餌文件
盡管新的Pierogi變種似乎保留了以前報告的大多數功能,但Cybereason檢測到了代碼的一些變化和改進,包括代碼混淆,base64編碼的C2通信等。此外,之前報告的獨特URI模式已經改變,不再包含烏克蘭語的單詞:
在新的Pierogi變體中觀察到的URI模式:
hxxp://ruthgreenrtg[.]live/xqgjdxa/yhhzireha/ibcdgpuw
hxxp://ruthgreenrtg[.]live/xqgjdxa/yhhzireha/zbkvngmnc
hxxp://ruthgreenrtg[.]live/xqgjdxa/yhhzireha/hknbuahwg
hxxp://ruthgreenrtg[.]live/xqgjdxa/yhhzireha/tcpuvvf
| 舊URI模式(烏克蘭語言命令) | 目的 |
| debby/weatherford/Yortysnr | 機器信息 |
| debby/weatherford/Ekspertyza | 向C2請求其他命令 |
| debby/weatherford/Zavantazhyty | 上傳數據(主要是屏幕截圖) |
04 結論
在這份報告中,Cybereason Nocturnus團隊調查了主要針對中東地區講阿拉伯語的個人的間諜活動,該活動主要在巴勒斯坦、阿聯酋、埃及和土耳其進行。Cybereason相當有把握地估計,這些攻擊是由Molerats(又名Gaza Cybergang)實施的,這是一個講阿拉伯語、有政治動機的APT組織,自2012年以來一直在中東地區活動。根據其使用的網絡釣魚主題和誘騙文件的分析表明,它們主要圍繞以色列與鄰國阿拉伯國家的關系以及巴勒斯坦內部的時事和政治爭議開展。考慮到誘餌內容的性質,Cybereason估計,攻擊目標是中東地區的高級政治人物和政府官員。
Cybereason Nocturnus團隊調查發現了兩個未知的后門,分別是“ SharpStage”和“ DropBook”,以及“ MoleNet”下載器,它們與先前發現的Spark后門一起傳遞。SharpStage和DropBook似乎都利用了合法的Web服務(例如Dropbox和Google Drive)來存儲其網絡武器庫,并利用了這些平臺的機制,以秘密的方式將其傳遞給受害者。此外,DropBook后門程序的作者通過創建偽造的公共配置文件濫用了Facebook,這些偽造的公共配置文件將惡意軟件的命令和控制(C2)指令傳遞給了惡意軟件。
此外,Cybereason能夠證明Molerats組織與APT-C-23(同樣隸屬于Gaza Cybergang)之間的相似之處,他們似乎有著相同的利益。當前的政治形勢和中東地區最近發生的事件以及新發現的網絡間諜工具,都充分表明Molerats正在增加對該地區的間諜活動。
05
IOCs
初始PDF釣魚文件
Hashes (SHA-256 + SHA-1):
553127cb586591cbfbae54dd4e28d4cd40fdddebaf4e0e7e1f3f23c446a621bb0a2b7ac50f1467588b0e0b1b73fdfd270eaf86a0
URLs:
https://www.dropbox[.]com/s/r81t6y7yr8w2ymc/MOM.zip?dl=1https://drive.google[.]com/uc?export=download&id=1NnMlUPwkxK4_wAJwrqxqBAfdKCPDxyeh
壓縮包
Hashes (SHA-256 + SHA-1):
D7675b5c1a47b876b505bf6fd8dc9ea3b35520c13408450df8807a1a5c24da68
89e8c607f6fa6cebd0672a6147e23b8cbe26c972
58f926d9bd70c144f8697905bf81dfff046a12929639dfba3a6bd30a26367823
7f0e609cd49a51b1e0fcc08499a618136451f689
SharpStage后門
Hashes (SHA-256 + SHA-1):
782681add2e26a17f4ad415b5b30f280c93f954a40ec4f00e0e60f9ef3884ac9
0eb6fd1bbc58fff0d85fe01e6528939650f8965c
688f79ba03554bbaf2be513416360ce44757b2f69103e6043ab66508611fe01a
d59fccb2cfb79cf26b332e40b102aa35d67b44ff
69af17199ede144d1c743146d4a7b7709b765e57375d4a4200ea742dabef75ef
7f3d04f54ffff9751d037398752107856f563e73
Caab3635c747d037eff7d8597698636c9a597ff631840e551011011bd4608245
8ec4d30a3040e260174cabb4b0c3959233b53929
7da27c2020176fd2b6132d65bd4cbabf9c23a4cb96427f5f7c59c103e031c138
625c550256b9c042a2cb5ce77ce3134d3cad1a0e
8daab6b0c8a9d22085f66f7498f87467eefadbcd0118df007f1600c87b7a3839
誘餌文檔:
20c74ccb8e56170fa3cdbf5f2e4dfe372bd88b9f1e78872691e37d868ccc3195
c7d2241c6a6ed2a079793fd2df17dd8582b24809
Domains:
www.artlifelondon[.]com
www.forextradingtipsblog[.]com
Directoryswiss[.]com
URLs:
https://www.artlifelondon[.]com/beta/medias[.]php
https://www.artlifelondon[.]com/Hamas.php - shortened URL
https://bit[.]ly/3kE3QNb
http://artlifelondon[.]com/hamas_internal_elections.rar
https://www.artlifelondon[.]com/momnws.php
https://www.forextradingtipsblog[.]com/beta/mediasG.php?NamePC=<Machine_Name>&NameUser=<Username>&Mask=0
https://forextradingtipsblog[.]com/SaudiRecognitionofIsrael.php
https://forextradingtipsblog[.]com/AhmedMajdalani.php
https://forextradingtipsblog[.]com/momnws.php
hxxps://directoryswiss[.]com/gama/void.phpDropBook后門
Hashes (SHA-256 + SHA-1):
2578cbf4980569b372e06cf414c3da9e29226df4612e2fc6c56793f77f8429d8
2da78a9a8b3005fcf64028b035ab6f1a26ac290c
URLs:
http://simp[.]ly/p/04T5bp
https://app.simplenote[.]com/p/04T5bp
Https://www.facebook.com/yora.stev.5Spark后門
Hashes (SHA-256 + SHA-1):
54eadcd0b93f0708c8621d2d8d1fb4016f617680b3b0496343a9b3fed429aaf9
c3be6ad66b8de00741901ea9556621ef3515ee85
6afa011e2da6b009ab8e10a59c55c0f0c2161ca19f6305002f95dd532cf594bf
810ad432a3cec7b6ffca3268685d21f11b1b1688
5b0693731f100b960720d67bda6f3e6df1c25b7d5024d11cf61c13e7492f18cf
11c38b5c1bef14939410ebddcfec9c8a5e0e6aae
Domains:
Brooksprofessional[.]com
IPs:
168.119.82.89
93.115.10.142Quasar RAT:
Hashes (SHA-256 + SHA-1):
e6f6615ccbfc1790fccaba78d11c79ecc47785245ad39fefd27bd74f9101c82e
bb7d1f60cbd7bf0508f2c8cc06e7ed907b0fa0aa
5b186548de81bc1d1ce92c042a6c488a647d80e570dd58c8d3f34910c12aba87
549d6a3123ea553d2bec5ef01029cd48fc50e0db
F5894e8c68aa2d3e34f7c967e6c4ad3cf35b399d452826148c2dd99958fa2af4
dde1e4ed199cca865a43f400646157cf3f42dd05
4e2bede5a455218844d18ff7086d9d35714499afb4d8d2c609274e1a05c67339
52693b5624d8ec23a5884653eecdf44502292109
49eb73f776e4e6d87d9701a135769c843847e7af6f5372fa99aba97b8c6af639
8b74574582a0adceb8b218399877c3f57daae57f
Domains:
Lynsub[.]com
IPs:
193.160.32.118MoleNet下載器
Hashes (SHA-256 + SHA-1):
1ff12e9a7bc1047ad868d81bacd87ecffd18a0290d83c5e4e90783fe4249bc47
f7d2befa1db6214a45db819b14cc8d8afad3fb8b
F323a150d7597f46d29eb3a3c56f74e11d18caf164f9176c8c1b2fa0031cc729
d30810bdd1fe0e771c810659cabdb024985c4e7f
Domains:
exchangeupdates[.]com
URLs:
https://exchangeupdates[.]com/enterprise/Senterprise.php
https://exchangeupdates[.]com/enterprise/Wenterprise.php新版本Pierogi:
Hashes (SHA-256 + SHA-1):
B2ec6aeb55eb0acf12be51185e4d6b3e67e9f3931a0ce0ebbc5849f52c0d8fd3
487b56d0d7d2167fbd95804175ddffbca745be68
32eb4f92c8e82d3f401078725115d0604f9283ff8d9a088e7afbc150e08df295
4d1d67472886136ea280e262562c6033e3deeeea
0d65b9671e51baf64e1389649c94f2a9c33547bfe1f5411e12c16ae2f2f463dd
6ba65a22f189006f2d8007296688d407430682cb
82ad34384fd3b37f85e735a849b033326d8ce907155f5ff2d24318b1616b2950
e69c085587b985cb7b8ed868b6c455a218caa04a
3da95f33b6feb5dcc86d15e2a31e211e031efa2e96792ce9c459b6b769ffd6a4
891e252012f20a6df46e3bb031448e97ad954b70
Eda6d901c7d94cbd1c827dfa7c518685b611de85f4708a6701fcbf1a3f101768
27411054d9e0df9562e466abb0af07d951358783
078212fc6d69641e96ed04352fba4d028fd5eadc87c7a4169bfbcfc52b8ef8f2
825d67ec002469457e03817973c41d6614a569aa
D28ab0b04dc32f1924f1e50a5cf864325c901e11828200629687cca8ce6b2d5a
73bea795f6bd2d14887c966bdf281a5e6d7365d1
E869c7f981256ddb7aa1c187a081c46fed541722fa5668a7d90ff8d6b81c1db6
addbe1ef3cfd003a619c34d5be76cd628e172812
2115d02ead5e497ce5a52ab9b17f0e007a671b3cd95aa55554af17d9a30de37c
062f72e9ec84b1ceeceec58e9e8fb63b4d507ee9
B61fa79c6e8bfcb96f6e2ed4057f5a835a299e9e13e4c6893c3c3309e31cad44
fd193ca4c3aefe29a95d6077b438ea3b5568b5ec
B599b0327c4593a06a2e05a3373ee84c37faa6e4fd6f7e5c24544aa9192e0b43
ad6ab9659d4d07b0f4ecff7571b9a2f1ccf69069
9c1ebd6f1800194b29720f626d51bf8f67310c4c59e67cd12e398dde234872ca
7ac73d364e36bf1c181962094b7241bc48927f30
2b70045d4878a20b8fca568c0b3414f2d255f3b2a7dfed85c84cf88d1b2f4e74
8f3999352507eb2fa46f4a30d64b4ea2b6be2cd5
C7e74330440fcf8f6b112f5493769de6cdbdea5944ab78697ab115c927cbd0a1
ae29d19aa4e3f76aa8c7f42dbc3fe31340cfea0c
2d03ff4e5d4d72afffd9bde9225fe03d6dc941982d6f3a0bbd14076a6c890247
0d44e77fd514c261ef3ca168010ca93cf16f6519
B3e991914ca782b0b6f6a96d7df6d02e2388079a12e76dfacb47155fbff1084d
7f4bbae73f7f5fffdf1328e3391ad2af55932f10
42fa99e574b8ac5eddf084a37ef891ee4d16742ace9037cda3cdf037678e7512
d6b246959385362894ab96c724ea80add019869b
3884ac554dcd58c871a4e55900f8847c9e308a79c321ae46ced58daa00d82ab4
13f4d8cd1cc6fa121d4420e4694e8c151b916bbc
誘餌文檔:
Ec9e05daf725673e3614cd0be0279fe9261241a2be9b53885a5ab4a50f445763
c8eb145b24bd90595b2735399aa99a5855eb7023
b1ac14df66e1b10b3c744431add3d99a7eb39714b61253fb22dd3a00cba61e05
Domains:
judystevenson[.]info
angeladeloney[.]info
ruthgreenrtg[.]live
escanor[.]live
原文鏈接:
https://www.cybereason.com/hubfs/dam/colla...
原文標題: MOLERATS IN THE CLOUD: New Malware Arsenal Abuses Cloud Platforms in Middle East Espionage Campaign
