1概述
MoleratsAPT组织又名“GazaHackersTeam”、“月光鼠”、“灵猫”等,其至少从年开始在中东地区活跃,主要攻击目标为以色列地区、巴勒斯坦地区与政党相关的组织和个人,惯用政治相关主题作为诱饵对目标进行鱼叉式钓鱼攻击。
微步情报局近期通过威胁狩猎系统监测到Molerats组织针对中东地区的间谍攻击活动,分析有如下发现:
攻击者使用政治相关主题制作诱饵文档和木马对目标进行攻击;
相关木马使用GoogleDrive等云服务托管恶意载荷,使用DropboxAPI进行C2通信,可提升木马隐蔽性;
木马还支持从合法站点justpaste.it动态获取DropboxToken进行C2通信,进一步增加了木马的可配置性;
截止分析时,发现已有数十台主机被感染,IP归属地大多为中东地区,符合Molerats组织的攻击目标;
通过资产关联分析,发现攻击者所使用SSL证书指纹等与Molerats组织过往资产重叠,认定幕后攻击者为Molerats组织;
微步在线通过对相关样本、IP和域名的溯源分析,提取7条相关IOC,可用于威胁情报检测。微步在线威胁感知平台TDP、本地威胁情报管理平台TIP、威胁情报云API、互联网安全接入服务OneDNS、主机威胁检测与响应平台OneEDR、威胁捕捉与诱骗系统HFish蜜罐等均已支持对此次攻击事件和团伙的检测。
2详情
攻击者利用政治相关主题制作诱饵,其中诱饵文档类主要使用恶意宏和模板注入手法,exe文件主要使用伪装Office文档图标或pdf文档图标的方法。
诱饵文档显示编辑语言为阿拉伯语,作者信息mijdaf。
图2攻击者制作的诱饵文档
相关木马大多为同类型木马,主要使用C#和C++编写,并使用ConfuserEx或Themida加壳,部分文件名称以阿拉伯文命名。
3样本分析
3.1使用硬编码的DropboxToken通信
以攻击者所投递诱饵文档为例,文档所携带的恶意宏较为简单,主要功能为利用powershell从远程服务器下载document.html保存到目录c:\ProgramData\servicehost.exe,并启动进程,URL:45.63.49./document.html。
图3诱饵文档中携带的恶意宏
该服务器为攻击者所控制的vps服务器。
图4相关IP在微步在线X社区的信息
下载的servicehost.exe为C#远控模块,图标伪装为压缩包图标。
图5伪装为压缩包图标的木马
servicehost.exe为C#编写,使用ConfuserEx加壳,执行后解密下步模块koi,并在内存中加载执行。
图6内存中加载模块koi
之后收集主机信息,包括IP地址、用户名、主机名,使用Base64编码再进行字符串反转,生成用户ID。
图7收集主机信息
使用攻击者的Token在Dropbox以上述ID创建文件夹,将主机信息上传。
URL: