在資安界稱為 APT33 的駭客組織是一個處心積慮、專門攻擊石油與航空產業的駭客集團。多年來,媒體一直不斷披露有關該集團的資訊,但根據趨勢科技最新的研究顯示,他們正利用十多個幕後操縱 (C&C) 伺服器來攻擊極少數的特定目標。該集團利用層層的掩護來保護這些以針對性惡意程式來攻擊中東、美國及亞洲少數特定對象的 C&C 伺服器。
我們相信這些伺服器所操控的殭屍網路每個最多只包含十幾台殭屍電腦,駭客利用這些殭屍網路來常駐在選定的目標內。其惡意程式非常陽春,只具備下載和執行其他惡意程式的功能。在目前 (2019 年) 仍活躍的感染目標當中,有兩個是專門提供國家安全服務的某家美國私人企業的兩個據點,其他受害單位還有:美國的某家大學和另一家學院、一個很可能與美國軍方有所關連的單位,以及多個分布在中東和亞洲的機構。
除此之外,APT33 在過去幾年也不斷從事一些更積極的攻擊,例如,該集團至少有兩年的時間利用了歐洲某高階政要 (該名政要還進入了該國的國防委員會) 的私人網站來發送魚叉式網路釣魚郵件給一些石油產業供應鏈上的企業。這些被攻擊的目標甚至包括一家供應美國陸軍某軍事基地安全飲用水的廠商。
這些攻擊很可能已入侵了石油產業,例如,我們在 2018 年秋發現英國某石油公司在英國和印度境內的伺服器曾與 APT33 的 C&C 伺服器通訊。另一家歐洲石油公司位於印度據點的某台伺服器也遭 APT33 的惡意程式感染了至少 3 週左右 (2018 年 11 月至 12 月間)。除此之外,還有多家石油產業供應鏈上的其他公司也在 2018 年秋天遭到入侵。這些入侵事件對石油相關產業來說可說是一項重大警訊,因為 APT33 習慣使用一些具有破壞力的惡意程式。
魚叉式網路釣魚攻擊,散播求職相關主旨
| 日期 | 寄件地址 | 主旨 |
| 12/31/16 | recruitment@alsalam.aero | Job Opportunity |
| 4/17/17 | recruitment@alsalam.aero | Vacancy Announcement |
| 7/17/17 | careers@ngaaksa.com | Job Openning |
| 9/11/17 | jobs@ngaaksa.ga | Job Opportunity |
| 11/20/17 | jobs@dyn-intl.ga | Job Openning |
| 11/28/17 | jobs@dyn-intl.ga | Job Openning |
| 3/5/18 | jobs@mail.dyn-corp.ga | Job Openning |
| 7/2/18 | careers@sipchem.ga | Job Opportunity SIPCHEM |
| 7/30/18 | jobs@sipchem.ga | Job Openning |
| 8/14/18 | jobs@sipchem.ga | Job Openning |
| 8/26/18 | careers@aramcojobs.ga | Latest Vacancy |
| 8/28/18 | careers@aramcojobs.ga | Latest Vacancy |
| 9/25/18 | careers@aramcojobs.ga | AramCo Jobs |
| 10/22/18 | jobs@samref.ga | Job Openning at SAMREF |
表 1:APT33 的一些魚叉式網路釣魚攻擊行動。資料來源:趨勢科技 Smart Protection Network。
在上表當中以「.com」和「.aero」結尾的前兩個電子郵件地址就是目前該團體使用的假冒地址。而以「.ga」結尾的,則來自駭客本身的基礎架構。所有上述地址都是假冒知名的航空以及石油和天然氣公司。
除了這些相對高調、針對石油產業鏈的攻擊之外,我們發現 APT33 也一直透過幾個 C&C 網域來操控一些小型殭屍網路,每個大約只包含十幾台電腦。
顯然 APT33 特地費了一番心思來防止自己被輕易追查。這些 C&C 網域通常設在雲端代管的代理器上。這些代理器會負責將殭屍電腦所發出的 URL 請求轉送至後端一大群共用的網站伺服器,這些伺服器很可能對應到上千個合法的網域。接著,後端伺服器再將殭屍電腦送來的資料傳回給資料彙整與殭屍操控伺服器,這些伺服器會使用專用的 IP 位址。然後,APT33 駭客集團再經由私人 VPN 網路連線至資料彙整伺服器,且其 VPN 出口節點 (exit node) 會經常變換。接著,APT33 駭客集團再透過這些 VPN 連線來對殭屍電腦下達指令並蒐集資料。
2019 年秋,我們共發現了 10 個活躍中的資料彙整與殭屍遭控伺服器,並且追蹤其運作長達數個月之久。這些資料彙整伺服器只會從很少數 (1 或 2 台) 的 C&C 伺服器蒐集資料,每個非重複的 C&C 網域僅操控大約十幾台殭屍電腦。下表列出一些使用較久且至今仍在活躍當中的 C&C 網域。
| 網域 | 建立日期 |
| suncocity.com | 5/31/16 |
| zandelshop.com | 6/1/16 |
| simsoshop.com | 6/2/16 |
| zeverco.com | 6/5/16 |
| qualitweb.com | 6/6/16 |
| service-explorer.com | 3/3/17 |
| service-norton.com | 3/6/17 |
| service-eset.com | 3/6/17 |
| service-essential.com | 3/7/17 |
| update-symantec.com | 3/12/17 |
表 2:只鎖定極少數目標的 APT33 C&C 網域。
圖 1:APT33 層層掩護的殭屍網路操控架構。
當駭客在管理 C&C 伺服器或從事偵查行動時,通常會使用商用 VPN 服務來隱藏自己的行蹤。不過,除了一般人也會使用的 VPN 服務之外,我們也常看到駭客使用自行架設的私人 VPN 網路。
要架設私人 VPN 網路其實不難,只需向全球各地的資料中心租用幾台伺服器,再搭配 OpenVPN 之類的開放原始碼軟體即可。儘管來自私人 VPN 網路的連線看似使用隨機的全球 IP 位址,但這類流量其實反而比較容易追查。一旦查出某個出口節點主要是由某駭客所使用,我們就有相當的自信能掌握來自該出口節點 IP 位址的連線。因為,駭客除了透過某個 VPN 出口節點來管理 C&C 伺服器外,還會對攻擊目標的網路進行情蒐偵查。
APT33 所用的 VPN 出口節點很可能是特別保留的。因為有些 VPN 出口節點已經被我們追蹤了一年以上,下表列出一些已知的相關 IP 位址。表中標示的時間是保守估計日期,這些 IP 位址的使用時間有可能更加久遠。
| IP 位址 | 第一次看到 | 最後一次看到 |
| 5.135.120.57 | 12/4/18 | 1/24/19 |
| 5.135.199.25 | 3/3/19 | 3/3/19 |
| 31.7.62.48 | 9/26/18 | 9/29/18 |
| 51.77.11.46 | 7/1/19 | 7/2/19 |
| 54.36.73.108 | 7/22/19 | 10/05/19 |
| 54.37.48.172 | 10/22/19 | 11/05/19 |
| 54.38.124.150 | 10/28/18 | 11/17/18 |
| 88.150.221.107 | 9/26/19 | 11/07/19 |
| 91.134.203.59 | 9/26/18 | 12/4/18 |
| 109.169.89.103 | 12/2/18 | 12/14/18 |
| 109.200.24.114 | 11/19/18 | 12/25/18 |
| 137.74.80.220 | 9/29/18 | 10/23/18 |
| 137.74.157.84 | 12/18/18 | 10/21/19 |
| 185.122.56.232 | 9/29/18 | 11/4/18 |
| 185.125.204.57 | 10/25/18 | 1/14/19 |
| 185.175.138.173 | 1/19/19 | 1/22/19 |
| 188.165.119.138 | 10/8/18 | 11/19/18 |
| 193.70.71.112 | 3/7/19 | 3/17/19 |
| 195.154.41.72 | 1/13/19 | 1/20/19 |
| 213.32.113.159 | 6/30/19 | 9/16/19 |
| 216.244.93.137 | 12/10/18 | 12/21/18 |
表 3:APT33 所用的幾個私人 VPN 出口節點相關的 IP 位址。
顯然這些私人 VPN 出口節點也被用來偵查石油產業供應鏈企業的網路。更確切地說,我們有實際看到「表 3」當中的某些 IP 位址被用於偵查中東某石油探勘公司與軍醫院的網路,還有美國的石油公司。
圖 2:APT33 如何利用私人 VPN 網路。
APT33 會利用其私人 VPN 網路來存取一些滲透測試公司的網站以及網頁郵件、漏洞資訊網站、虛擬加密貨幣相關網站等等,此外也會用來閱讀駭客部落格與論壇。不僅如此,APT33 顯然也對石油和天然氣產業的人才招募網站很有興趣。我們建議石油和天然氣產業的公司應該交叉比對一下前述所列的 IP 位址與自己的系統事件記錄檔。
資安建議
隨著石油、天然氣、自來水、電力等公司的設施不斷現代化,其資安防護工作也更加困難。公然的攻擊、現成的漏洞,或是暴露在外的 SCADA/HMI 系統,都是這些產業面臨的嚴重問題。以下提供一些最佳實務原則來供這些企業參考:
- 為所有系統制定一套定期修補與更新政策,盡快下載修補更新來避免網路犯罪集團利用系統資安漏洞。
- 提升員工的資安意識,隨時掌握網路犯罪集團的最新攻擊手法。
- IT 系統管理員應實施最低授權原則以方便監控對內與對外的流量。
- 安裝一套多層式防護系統來偵測及攔截從閘道入侵端點裝置的惡意活動。
此外,想要保護這類複雜且經常跨國的供應鏈系統並非易事,因為這類企業的核心業務無可避免地會與第三方供應商整合,而供應商的資安問題卻經常被人忽略,使得網路犯罪集團經常瞄準企業之間的通訊或連線漏洞。您可參考我們這份有關供應鏈攻擊的研究與資安建議。
如前面所說,APT33 專門使用魚叉式網路釣魚郵件來滲透攻擊目標的網路,就其惡意行為來看,其威脅是相當嚴重的。要防範垃圾郵件和電子郵件威脅,企業可考慮採用趨勢科技的企業端點防護產品,如:Smart Protection Network™與 Worry-Free™ Business Security。此外還有趨勢科技 趨勢科技Deep Discovery進階網路安全防護 可提供一道額外的電子郵件檢查,幫助企業偵測惡意的附件和網址。而趨勢科技 趨勢科技的Hosted Email Security 則是一套不需您維護的雲端方案,提供持續更新的防護,幫您攔截垃圾郵件、惡意程式、魚叉式網路釣魚、勒索病毒以及進階針對性攻擊,不讓威脅到達您的網路。它能保護 Microsoft Exchange、Microsoft Office 365、Google Apps 以及其他代管式或企業內電子郵件產品。
入侵指標資料
| 檔案名稱 | SHA256 雜湊碼 | 趨勢科技命名 |
| MsdUpdate.exe | e954ff741baebb173ba45fbcfdea7499d00d8cfa2933b69f6cc0970b294f9ffd | Trojan.Win32.NYMERIA.MLR |
| MsdUpdate.exe | b58a2ef01af65d32ca4ba555bd72931dc68728e6d96d8808afca029b4c75d31e | Trojan.Win32.SCAR.AB |
| MsdUpdate.exe | a67461a0c14fc1528ad83b9bd874f53b7616cfed99656442fb4d9cdd7d09e449 | Trojan.Win32.SCAR.AC |
| MsdUpdate.exe | c303454efb21c0bf0df6fb6c2a14e401efeb57c1c574f63cdae74ef74a3b01f2 | Trojan.Win32.NYMERIA.MLW |
原文出處:More than a Dozen Obfuscated APT33 Botnets Used for Extreme Narrow Targeting 作者:Feike Hacquebord、Cedric Pernet 與 Kenney Lu