意昂体育-科技赋能场景,让娱乐更有趣!

连忙拨打95015

首页 > 企业动态 > 公司新闻 > 起底国家级APT组织：OilRig （APT-Q-53）

起底国家级APT组织：OilRig （APT-Q-53）

时间：2021-10-21 作者：虎符智库

分享到：

起底国家级APT组织：OilRig （APT-Q-53）

本文3049字阅读约需8钟

国家级APT（AdvancedPersistentThreat，，，，，，，，高级一连性威胁）组织是有国家配景支持的顶尖黑客团伙，，，，，，，，专注于针对特定目的举行恒久的一连性网络攻击。。。。。

意昂体育-科技赋能场景,让娱乐更有趣!旗下的高级威胁研究团队红雨滴（RedDripTeam）每年会宣布全球APT年报【1】、中报，，，，，，，，对昔时各大APT团伙的运动举行剖析总结。。。。。

虎符智库特约意昂体育-科技赋能场景,让娱乐更有趣!旗下红雨滴团队，，，，，，，，开设“起底国家级APT组织”栏目，，，，，，，，逐个起底全球各地区活跃的主要APT组织。。。。。本次锁定主要攻击中东地区政府、能源、化工及电信等行业的国家级黑客团伙：OilRig。。。。。

04

Oilrig

OilRig是中东某国政府支持的APT组织。。。。。主要针对中东国家实验攻击，，，，，，，，近几年来我国也成为了其攻击目的。。。。。

该APT组织着名度较高，，，，，，，，代表了该国网军的最高网络攻击水平。。。。。意昂体育-科技赋能场景,让娱乐更有趣!内部跟踪编号为APT-Q-53。。。。。

起底国家级APT组织：OilRig （APT-Q-53）

配景

OilRig又名HelixKitten、APT34、GreenBug、ITG13等称呼，，，，，，，，是中东某国政府支持下着名度最高的APT组织之一。。。。。

自2014年被发明以来，，，，，，，，OilRig一直非�；；；；；；；；钤�，，，，，，，，主要针对中东国家实验攻击，，，，，，，，其次是美国、土耳其、英国等西方国家，，，，，，，，也包括中国和印度。。。。。

OilRig攻击目的详细包括包括政府、媒体、及手艺效劳提供商等组织，，，，，，，，行业包括金融、政府、能源、化工和电信等领域。。。。。

从攻击目的可以看出，，，，，，，，OilRig与该国国家利益和作战时间坚持基本一致，，，，，，，，越发关注涉及其国家利益的细节情报。。。。。2019年OilRig遭受重大攻击，，，，，，，，大宗与该集团相关的信息通过Telegram被果真。。。。。泄露内容包括十余名成员的详细小我私家信息及若干网络武器。。。。。其果真内容使得清静厂商们在后续一系列溯源都有了偏向。。。。。

攻击特点手段、工具

恒久以来，，，，，，，，OilRig通过大宗网络并整合种种登录凭证、匿名资源、隐藏通道等网络攻击资源，，，，，，，，对某些特定目的提倡数起定向攻击。。。。。Oilrig团伙武器库包括大宗定制工具，，，，，，，，随着清静行业对其的一直曝光，，，，，，，，Oilrig使用的攻击武器和手法一连升级。。。。。

从攻击入口来看，，，，，，，，Oilrig主要接纳鱼叉攻击、社工垂纶、水坑攻击等方法实验组合攻击。。。。。

别的，，，，，，，，Oilrig还善于使用通讯隐匿手艺来规避检测和追踪，，，，，，，，好比：通过ExchangeWebServices（EWS）)API实现高可信度、高隐匿性的“EWS隧道手艺”。。。。。通过大宗案例剖析，，，，，，，，总结出Oilrig以下特点：

该组织主要依赖社会工程学实验攻击，，，，，，，，使用垂纶网站窃取用户凭证，，，，，，，，例如OWA；；；；；；；；

当该组织获取系统会见权限后，，，，，，，，使用密码抓取器Mimikatz工具dump账户凭证信息，，，，，，，，窃取登录的账户凭证；；；；；；；；

使用窃取的账户凭证举行横向移动；；；；；；；；

已往攻击中从未使用0day误差，，，，，，，，但会在攻击中使用已修补的误差的相关使用代码；；；；；；；；

当获取系统凭证后，，，，，，，，偏好于使用工具而不是后门程序来会见系统，，，，，，，，如远程桌面或putty。。。。。

（一）攻击手段

1.鱼叉攻击

鱼叉攻击是OilRig最常使用并且最善于的要领，，，，，，，，通常以下面三种方法作为初始攻击：通过电子邮件中夹带含有恶意宏的Office文件（DOX或EXCEL等）；；；；；；；；电子邮件中直接发送恶意链接；；；；；；；；LinkedIn以招聘的方法发送链接撒播恶意文件。。。。。别的，，，，，，，，为了提高攻击效率，，，，，，，，OilRig会在发送鱼叉文件前对恶意代码逃避清静检测的能力提前测试。。。。。

2.水坑攻击

OilRig主要通过垂纶的方法实验水坑攻击，，，，，，，，并且其中用于制造水坑的网站都是伪造的。。。。。2017年，，，，，，，，OilRig伪造了JuniperNetworksVPN的网站，，，，，，，，并使用Juniper的电子邮件帐户发送邮件诱骗目的。。。。。恶意电子邮件中的链接指向该虚伪网站，，，，，，，，并要求用户输入用户名和密码，，，，，，，，随后要求受害者装置“VPN客户端”，，，，，，，，而软件中捆绑了OilRig的恶意软件Helminth。。。。。

3.数据信息破损擦除

与该国支持的其他黑客一样，，，，，，，，OilRig同样喜欢安排“摧毁性”恶意软件。。。。。IBM曾披露OilRig使用数据破损软件ZeroCleare瞄准中东能源和工业部分发动攻击，，，，，，，，起源估算已有1400台装备遭熏染。。。。。ZeroCleare和令沙特石油巨头心惊胆战的破损性恶意软件Shamoon属于同宗，，，，，，，，均由出自该国顶级黑客组织一手开发。。。。。

（二）使用工具及手艺特征

OilRig使用的网络武器主要包括：键盘纪录工具（KEYPUNCH）、桌面屏幕截图捕获（CANDYKING）、后门（POWRUNER）和域天生算法功效（BONDUPDATER）等。。。。。

在其工具库泄露后，，，，，，，，该组织为了阻止检测，，，，，，，，一直在起劲刷新和更新其有用载荷库，，，，，，，，并建设了几种差别的恶意软件变体。。。。。同时，，，，，，，，OilRig也在一直更新武器库，，，，，，，，包括DGA天生C2域名，，，，，，，，使用DNSExfiltrator等工具隐藏其数据流量等，，，，，，，，批注该组织也在一直追求反侦测的战略。。。。。

以下为OilRig使用工具的特点：

使用定制和开源软件工具举行DNS渗漏；；；；；；；；

使用自界说的DNSTunneling协议举行下令控制和数据回传；；；；；；；；

该组织使用自定制的webshell后门程序维持对效劳器的长期会见；；；；；；；；

基于电子邮件的C2使用ExchangeWeb效劳和隐写术，，，，，，，，例如将数据和下令插入到电子邮件的图像文件中。。。。。

着名攻击事务

（一）OilRig首次被揭开面纱

2016年5月，，，，，，，，OilRig攻击沙特阿拉伯国防工业部分被清静厂商PaloAltoNetwork【2】发明，，，，，，，，并将此事与两年前的相似攻击事务关联，，，，，，，，揭开OilRig的“神秘面纱”。。。。。

此次事务OilRig使用两种攻击方法：第一种是Excel夹带恶意宏撒播VB和PowerShell剧本，，，，，，，，下载Helminth木马入侵电脑，，，，，，，，通过DNS请求窃取数据；；；；；；；；第二种是通过邮件ZIP附件来撒播Windows可执行文件。。。。。

（二）针对中东政府使用Office误差撒播后门

2017年11月，，，，，，，，OilRig针对中东政府举行鱼叉攻击，，，，，，，，并使用Office误差撒播.rtf恶意文件【3】。。。。。恶意文件使用CVE-2017-11882误差破损客栈内存，，，，，，，，然后将恶意数据压栈，，，，，，，，经由一系列办法执行，，，，，，，，建设与下令和控制（C2）效劳器的毗连。。。。。

此次攻击中，，，，，，，，OilRig使用了基于PoweShell的后门POWRUNER，，，，，，，，以及一个具有域名天生算法功效的下载器BONDUPDATER。。。。。

（三）使用社工手艺伪装实验攻击

2019年6月，，，，，，，，Oilrig伪装成剑桥大学成员的身份以获得受害者信托，，，，，，，，并使用Linkedin私信转达恶意软件【4】，，，，，，，，主要针对能源、公用事业、政府油气等多行业职员。。。。。

Oilrig使用了其特定变种软件PICKPOCKET被Fireeye识别并阻挡，，，，，，，，后披露这次攻击中使用了三款最新恶意软件：Tonedeaf（后门）、ValueVault（浏览器凭证窃�。。。。。┖蚅ongwatch（键盘纪录器）。。。。。

（四）使用数据擦除破损中东能源机构数据

2019年12月，，，，，，，，IBM披露Wiper类恶意软件“Zeroclear”，，，，，，，，可以删除熏染装备数据，，，，，，，，主要针对中东能源和工业部分举行破损性攻击，，，，，，，，起源估算有1400台装备受到熏染【5】。。。。。

报告以为，，，，，，，，ZeroCleare极其危险，，，，，，，，使用域控制器(DomainControllers)可以在组织中迅速撒播。。。。。报告体现从受害目的、IP关联以及使用软件的相关联系可以推测此次攻击可能源自OilRig。。。。。

（五）2021年对中东的最新攻击运动

2021年1月至4月时代，，，，，，，，OilRig针对中东地区再次实验攻击，，，，，，，，接纳Word诱饵文档作为初始攻击【6】。。。。。文档伪装成“黎巴嫩水师战舰停当清单”、“Ntiva公司的招聘信息”（美国IT效劳商）等诱饵文件作为攻击入口，，，，，，，，团结窃取的Exchange账号完成组合入侵。。。。。OilRig在文档正文中添加诱导性形貌以诱使目的启用恶意宏代码，，，，，，，，从而植入后门程序。。。。。

值得一提的是，，，，，，，，此次攻击内置了黎巴嫩政府等与诱饵文件相符的Exchange邮箱账户上岸凭证，，，，，，，，推测攻击者在先期准备阶段已乐成入侵了有关组织或与其具有信托关系的邮件账户，，，，，，，，并借高可信Exchange效劳器为信托节点中转通讯，，，，，，，，隐藏恶意行为。。。。。

总结

总体而言，，，，，，，，OilRig代表了该中东国家网军的最高网络攻击水平，，，，，，，，是以实其政治目的为主要目的的APT组织。。。。。

其攻击规模主要针对中东国家（以色列为主）及敌国美国，，，，，，，，近几年来我国也成为了其攻击目的。。。。。

OilRig的初始攻击虽然简朴直接，，，，，，，，可是团结其网络的登录凭证等数据使得受害者无法甄别。。。。。别的，，，，，，，，OilRig善于使用流量隐藏手艺使到手艺职员越发难以发明及追踪。。。。。

注解

https://ti.qianxin.com/uploads/2021/02/08/dd941ecf98c7cb9bf0111a8416131aa1.pdf

https://unit42.paloaltonetworks.com/unit42-oilrig-actors-provide-glimpse-development-testing-efforts/

https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html

https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html

https://www.ibm.com/downloads/cas/OAJ4VZNJ

https://research.checkpoint.com/2021/irans-apt34-returns-with-an-updated-arsenal/

关于作者

意昂体育-科技赋能场景,让娱乐更有趣!红雨滴团队（RedDripTeam，，，，，，，，@RedDrip7），，，，，，，，依托全球领先的清静大数据能力、多维度多泉源的清静数据和专业剖析师的富厚履历，，，，，，，，自2015年一连发明多个包括海莲花在内的APT组织在中国境内的恒久运动，，，，，，，，并宣布海内首个组织层面的APT事务揭破报告，，，，，，，，开创了海内APT攻击类高级威胁系统化揭破的先河。。。。。阻止现在，，，，，，，，一连跟踪剖析的主要APT团伙凌驾46个，，，，，，，，自力发明APT组织13个，，，，，，，，一连宣布APT组织的跟踪报告凌驾90篇，，，，，，，，按期输出半年和整年全球APT运动综合性剖析报告。。。。。

推荐产品

相关新闻

您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问可用以下方法告诉我们

将您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问

用以下方法告诉我们

联系客服提交信息网络清静效劳热线:95015

我猜您是

客户

求职者

快捷窗口

产品注册与激活

意昂体育-科技赋能场景,让娱乐更有趣!天守清静软件

顽固病毒专杀工具

旗下网站

网神

网康

手艺研究院

威胁情报中心

补天误差响应平台

NOX 清静监测

关于意昂体育-科技赋能场景,让娱乐更有趣!

意昂体育-科技赋能场景,让娱乐更有趣!简介

联系意昂体育-科技赋能场景,让娱乐更有趣!

收支口合规声明

95015效劳热线

微信公众号

Copyright ? 2014-2026 QIANXIN.COM All Rights Reserved 意昂体育-科技赋能场景,让娱乐更有趣! 京ICP备16020626号-8

京公网安备11000002002064号

隐私政策 | 网站地图

【网站地图】【sitemap】