月光再临——MoonLight组织对于中东国家的全新攻击主题活动分析

访客4年前关于黑客接单984

一、简述

自2019年4月至今,奇安信APT试验室在日常威协捕猎全过程中检测到一批对于阿塞拜疆及加沙地区的有组织的、连续性的互联网攻击个人行为,攻击范围广、被害范畴大,造成了比较严重的 *** 信息安全威协,对于此事大家時刻维持高度关心并详细分析。

另外观查到最近一部分安全性生产商公布数篇判定为“拍拍熊”(APT-C-37)的全新活动报告,众多汇报內容与大家本次公布的“月光再临”行動存有高度重叠。秉着认真细致、求实创新的科学研究心态,奇安信APT试验室对该批号攻击主题活动开展不断跟踪跟踪发掘,最后判断結果偏向了另一个在加沙地区主题活动很多年,疑是与哈马斯武装部队存有关系的MoonLight组织。该组织常常应用钓鱼邮件攻击,其攻击技巧和C&C命名规范与此次攻击主题活动存有众多符合点,因而大家秉着“相互尊重”和行业交流共享的标准发布本次剖析追溯全过程。

二、攻击组织情况详细介绍

1. MoonLight组织详细介绍

Vectra Networks称其为Moonlight,但别的名字包含Gaza Hacker Team,Gaza Cyber gang,DownExecute,XtremeRAT,Molerats和DustSky。安全性企业ClearSky在2016年6月表明,该组织很有可能与哈马斯组织有联络[1]。

该组织是出自于政冶主观因素的阿语 *** 威胁组织,对于中东地区和拉丁美洲(MENA)地域,尤其是阿塞拜疆国土。

在对该攻击组织2018年不断跟踪全过程中,鉴别出中东地区和北非地区十分类似的攻击者所应用的不一样技术性,但对于总体目标有时候一致。该发觉区别了加沙赛博帮內部运行的三个攻击组:

Group 1(經典的低费用预算工作组),也称之为MoleRAT;Gaza Cybergang Group2(初级复杂性),与已经知道的”Desert Falcons”有联络; Group3(更大复杂性),其主题活动之前被称作” Operation Parliament”[2]。

2. 地域难题、组织矛盾分析

地缘政治学情况:法塔赫与哈马斯间的较量

法塔赫期待创建的是一个以耶路撒冷为北京首都的民族国家,而哈马斯则期待创建的是一个 *** 教君权神授我国。彼此在意识形态工作上就拥有 十分大的差别。次之,在看待非洲的心态上,法塔赫的心态更为实干,期待认可非洲,在会话的基本上处理巴以冲突。而哈马斯则更加极端化,死不承认非洲,认为坚持不懈武装斗争。彼此在对以抗争的路经上存有着极大的矛盾[3]。

2006年,“哈马斯”获得巴法律联合会大选,但早已意味着阿塞拜疆群众建议近半世纪的“法塔赫”回绝认可选举结果,彼此产生武装冲突,2007年6月“哈马斯”夺得了加沙地带控制区,“法塔赫”撤到约旦河西岸。现如今的哈马斯和法塔赫尽管达到调解,但一直未按约执行。

心态变化的埃及 *** :印度前美国总统穆尔西曾是 *** 教刺客信条叛变组织组员,而哈马斯也与 *** 教刺客信条叛变有紧密联系,因而哈马斯获得一部分中东地区适用,但由于该组织模糊不清了抵抗运动和可怕组织中间的界线,很多人对该组织也呈 *** 心态。前美国总统穆尔西当政期内印度对哈马斯武装部队出示了很多的資源和适用,运用印度的波罗的海港口和正宗该武装部队得到从外部选购很多武器进到加沙地区。

但自2014年埃及总统塞西上场,为肃清流毒与前美国总统有关的同党流派,塞西果断严厉打击哈马斯能量,埃及 *** 针对哈马斯武裝组织的心态展现180度翻转,四面楚歌的哈马斯组织也遭遇資源受到限制之境。

图2.1:印度对哈马斯的心态变化

2016年,MoonLight组织曾被安全性企业ClearSky公布很有可能与哈马斯武装部队存有关系,根据简略掌握中东国家盘根错节的形势发觉该武装部队存有诸多地域矛盾难题,如:法塔赫与哈马斯的派系斗争、阿塞拜疆与非洲间的土地矛盾、埃及 *** 对哈马斯组织心态的变化这些,而这种矛盾目标刚好相匹配了该组织散播鱼饵文档中诸多话题讨论信息内容。

融合样版武器装备中时区、位置信息和MoonLight组织的历史时间主题活动,与大家本次检测到的攻击主题活动存有很多共同之处,根据此,奇安信APT试验室将本次攻击主题活动判断为MoonLight组织所做。

三、互联网武器装备剖析整理

1. 原始故意荷载释放出来

1.1 掩藏的自缓解压力可执行程序

该批号捕捉的样版原始故意荷载全是根据将自文件解压(SFX)掩藏为doc、jpg等文字照片方式,进而做到混淆是非的目地:

图3.1样版发掘时间轴

1.2 默然释放出来本身

此类压缩文件双击鼠标实行后可能依照事先设定的主要参数默然运行命令:

将本身缓解压力到temp文件目录或Appdata文件目录下;

启用mstha或Wscript程序运行故意脚本 *** 或故意URL;

为受害人展现鱼饵文本文档;

建立实行故意脚本 *** 的快捷方式图标。

2. 攻击脚本 *** 方式转变

2.1 缓解压力实行故意脚本 ***

2019年4月至8月,该组织的SFX自解压程序中包括了一个做为下载工具的故意脚本 *** ,该脚本 *** 会进行一系列下载任务,数次去搞混后实行真实的木马程序。

图3.2自缓解压力主要参数

图3.3 d.vbs动态性获得回连信息内容

2.2 快捷方式图标浏览URL

在2019年8月的某样版中包括了一个VBS脚本 *** 和一个快捷方式图标:做为Loader的VBS脚本 *** 可能实行history.ink,而该ink会将故意URL做为主要参数启用mstha程序流程完成了免费下载作用。这类浏览 *** 也可看作为事后攻击技巧升級的标示之一。

相关文章

全球主流社交媒体算法解析:Facebook、YouTube、Twitter等平台如何利用算法推荐内容?

全球主流社交媒体算法解析:Facebook、YouTube、Twitter等平台如何利用算法推荐内容?

编辑导读:算法分发已经不是一个生疏的词汇了,各大APP都有本身的算法,而且通过这些算法相识用户、推荐内容,从而到达本身的目标。本文对全球主流社交媒体的算法举办了拆解阐明,看看它们是如何操作算法举办内容...

新版《小娘惹》翻拍自哪部电视剧 《小娘惹》什么时候播出

新版《小娘惹》翻拍自哪部电视剧 《小娘惹》什么时候播出

电视连续剧《小娘惹》从要重拍的情况下编有很多的异议,网民们表明經典是没法超过的,现如今这一部电视连续剧即将开播了,不清楚大伙儿还记不记得那时候的經典呢。下边我产生:《小娘惹》重拍自哪一部电视连续剧...

假如电脑被黑客入侵(假如电脑被黑客入侵怎么办)

假如电脑被黑客入侵(假如电脑被黑客入侵怎么办)

本文目录一览: 1、电脑被黑客侵入后会出现哪些现象? 2、电脑被黑客入侵了怎么办 3、电脑被黑客入侵后怎么办? 电脑被黑客侵入后会出现哪些现象? 第一标志:电脑频繁随机弹出窗口。如果你电脑有...

奥尔森·昆迪格完成了西雅图太空针塔的重大翻新

在美国公司 Olson Kundig Architects 进行了大修之后,西雅图的太空针塔观测塔 已经重新向公众开放 ,其中包括增加了“世界上第一个也是唯一的旋转玻璃地板”。 Olson Kund...

边塞诗有哪些?边塞诗经典流传,与君共赏

边塞诗有哪些?边塞诗经典流传,与君共赏

边塞诗有哪些(边塞诗经典流传,与君共赏)唐诗中写边塞战事的诗有很多,这些都统称为边塞诗,而且唐朝也有很多出色的边塞诗人,王昌龄就是其中之一。虽说王昌龄身处盛唐,但是却对当时的边塞战事有一些失望。战争打...

疫情持续扩散!日本中兴通讯累计12县出现31起禽流感

  中新网12月23日电 据“中央社”23日报道,从11月上旬至今,日本境内47个都道府县中,已有12县发生31起禽流感疫情,其中13起集中在香川县,整个疫情持续处于难以平息状态。   据报道,日本...