拥有Charming Kitten、Mint Sandstorm等匿称的伊朗黑客组织APT35,自2014年出没以来,主要的攻击范围在中东及美国,针对能源、政府机关、科技服务单位下手,但在最近一起攻击行动里,这些黑客因为扩大活动的范围,而引起安全研究人员的注意。
威胁情报企业ThreatBook指出,他们发现APT35最新一波攻击,锁定航天及半导体产业而来,攻击范围横跨美国、泰国、阿拉伯联合酋长国(UAE)、以色列。黑客运用假造的征才网站及公司网站,并要求用户必须通过VPN访问为由,诱骗他们下载恶意程序并执行。过程中对方滥用合法云计算服务,例如:OneDrive、Google Cloud、GitHub,从而隐匿行踪。
针对这起安全事故的发现,研究人员表示是发现专门针对航天产业的冒牌征才网站,该网站提供授权访问的应用程序,其中掺入了黑、白两种恶意软件组件(研究人员对于APT35使用的恶意软件归纳为两种形态,但并未说明相关定义),主要的攻击目标,他们推测是泰国专精无人机设计的专家。经过一系列的分析,研究人员确认攻击者的身份就是APT35。
特别的是,这个征才网站为了引诱目标人士上当,黑客不仅标记航天相关职缺的薪水远高于其他工作,还甚至制作授权访问应用程序的使用教学视频,企图降低受害者的戒心。
若是求职者依照指示下载黑客提供的文件,其中包含合法的OneDrive组件SignedConnection.exe,以及第一阶段、第二阶段的恶意程序secur32.dll、Qt5Core.dll。
其中的第一阶段恶意工具是以C#打造而成,主要的功能包含提供SignedConnection.exe的图形界面,并将前述提及的黑白恶意软件组件复制到计算机,并篡改注册表,让这些恶意软件随着计算机开机加载。
至于另一个恶意程序Qt5Core.dll,则是由secur32.dll改名后,再通过FileCoAuth.exe加载,并通过GitHub、Google Drive,取得C2服务器地址并创建通信。
研究人员后来看到另一个冒牌的半导体公司网站,黑客对于目标人士佯称有访问限制,必须安装VPN应用程序,然而一旦照做,计算机就会被植入前述的恶意酬载。
