在趨勢科技的這篇研究報告裡,發掘了兩起跟阿拉伯有強烈關係的攻擊行動,可能位在加薩走廊。第一起是Arid Viper行動,對五個以色列組織(政府、運輸/基礎設施、軍事、學術和運輸)及一個總部在科威特的組織進行了極具針對性的網路攻擊。這起攻擊行動背後的惡意份子顯示出用精密手段來攻擊關鍵目標以取得敏感機密資料的能力,據信自2013年中就一直運作至今。
Arid Viper 行動利用色情影片,展開魚叉式網路釣魚(Phishing)攻擊五個以色列組織(涵蓋政府、運輸、基礎設施、軍事和學術單位)及一個科威特組織。「它所針對的專業人士可能會因為在工作上收到不當內容而羞於去回報此事件,」趨勢科技威脅研究人員在最近的 Arid Viper發現報告中表示。
在監視其所連接的C&C基礎設施(放在德國)時,趨勢科技的研究人員發現了另一起攻擊活動,這是由埃及駭客主導的Advtravel行動。我們的調查結果顯示這些埃及駭客似乎對存放在受害者電腦中的圖片特別感興趣。我們推測他們在找尋非法或有問題的圖片以用來進行勒索。跟 Arid Viper行動的幕後黑手不同,Advtravel行動幕後集團的動機並非金錢或間諜活動。有趣的是,當我們檢查 advtravel[點]info時,攻擊者的伺服器目錄結構完全的對外開放。這讓我們相信 Advtravel背後的攻擊者技術能力較差,而且並非那麼有目的的在攻擊其他埃及人。
Arid Viper和Advtravel攻擊活動的感染鏈
Arid Viper攻擊活動所用的散播機制是魚叉式網路釣魚(Phishing)郵件。郵件附加檔案中包含一個RAR檔案,會自動解成SCR檔案,執行後會植入兩個檔案。
第一個檔案是支色情短片,用來作為社交工程(social engineering )的誘餌。第二個檔案則是會連接C&C伺服器的真正惡意軟體。一旦第二階段的惡意軟體進入系統,它會將自己設定成系統重新開機後會自動執行,甚至偽裝成網路通訊軟體。此外,其他C&C伺服器代管在德國Hetzner的IP位址(188[點]40[點]75[點]132和188[dot]40[dot]106[dot]84)。我們的研究結果顯示,IP位址188[點]40[點]75[點]132和Advtravel行動有關。
雖然Advtravel行動所用的惡意軟體和Arid Viper行動不同,這兩個行動間仍然有幾個相似之處,像是共用同一台伺服器,用在Advtravel行動的網域註冊電子郵件也跟Arid Viper行動的一樣。值得注意的是,相同的伺服器及網站登記資料暗示了有上層組織的存在,可能有一個論壇或有影響力的贊助者來提供各駭客組織用來達到目的的手段。
除了兩起攻擊行動及其目標的技術細節外,研究報告 – Arid Viper:繞過鐵穹防禦系統還討論了看似與這些攻擊行動密切關連對象的因果關係和細節。
[延伸閱讀:Arid Viper:加薩與以色列的網路衝突]
[延伸閱讀:Arid Viper 行動如何利用大膽的情色內容]
