月光再临——MoonLight组织对于中东国家的全新攻击主题活动分析

访客4年前关于黑客接单981

一、简述

自2019年4月至今,奇安信APT试验室在日常威协捕猎全过程中检测到一批对于阿塞拜疆及加沙地区的有组织的、连续性的互联网攻击个人行为,攻击范围广、被害范畴大,造成了比较严重的 *** 信息安全威协,对于此事大家時刻维持高度关心并详细分析。

另外观查到最近一部分安全性生产商公布数篇判定为“拍拍熊”(APT-C-37)的全新活动报告,众多汇报內容与大家本次公布的“月光再临”行動存有高度重叠。秉着认真细致、求实创新的科学研究心态,奇安信APT试验室对该批号攻击主题活动开展不断跟踪跟踪发掘,最后判断結果偏向了另一个在加沙地区主题活动很多年,疑是与哈马斯武装部队存有关系的MoonLight组织。该组织常常应用钓鱼邮件攻击,其攻击技巧和C&C命名规范与此次攻击主题活动存有众多符合点,因而大家秉着“相互尊重”和行业交流共享的标准发布本次剖析追溯全过程。

二、攻击组织情况详细介绍

1. MoonLight组织详细介绍

Vectra Networks称其为Moonlight,但别的名字包含Gaza Hacker Team,Gaza Cyber gang,DownExecute,XtremeRAT,Molerats和DustSky。安全性企业ClearSky在2016年6月表明,该组织很有可能与哈马斯组织有联络[1]。

该组织是出自于政冶主观因素的阿语 *** 威胁组织,对于中东地区和拉丁美洲(MENA)地域,尤其是阿塞拜疆国土。

在对该攻击组织2018年不断跟踪全过程中,鉴别出中东地区和北非地区十分类似的攻击者所应用的不一样技术性,但对于总体目标有时候一致。该发觉区别了加沙赛博帮內部运行的三个攻击组:

Group 1(經典的低费用预算工作组),也称之为MoleRAT;Gaza Cybergang Group2(初级复杂性),与已经知道的”Desert Falcons”有联络; Group3(更大复杂性),其主题活动之前被称作” Operation Parliament”[2]。

2. 地域难题、组织矛盾分析

地缘政治学情况:法塔赫与哈马斯间的较量

法塔赫期待创建的是一个以耶路撒冷为北京首都的民族国家,而哈马斯则期待创建的是一个 *** 教君权神授我国。彼此在意识形态工作上就拥有 十分大的差别。次之,在看待非洲的心态上,法塔赫的心态更为实干,期待认可非洲,在会话的基本上处理巴以冲突。而哈马斯则更加极端化,死不承认非洲,认为坚持不懈武装斗争。彼此在对以抗争的路经上存有着极大的矛盾[3]。

2006年,“哈马斯”获得巴法律联合会大选,但早已意味着阿塞拜疆群众建议近半世纪的“法塔赫”回绝认可选举结果,彼此产生武装冲突,2007年6月“哈马斯”夺得了加沙地带控制区,“法塔赫”撤到约旦河西岸。现如今的哈马斯和法塔赫尽管达到调解,但一直未按约执行。

心态变化的埃及 *** :印度前美国总统穆尔西曾是 *** 教刺客信条叛变组织组员,而哈马斯也与 *** 教刺客信条叛变有紧密联系,因而哈马斯获得一部分中东地区适用,但由于该组织模糊不清了抵抗运动和可怕组织中间的界线,很多人对该组织也呈 *** 心态。前美国总统穆尔西当政期内印度对哈马斯武装部队出示了很多的資源和适用,运用印度的波罗的海港口和正宗该武装部队得到从外部选购很多武器进到加沙地区。

但自2014年埃及总统塞西上场,为肃清流毒与前美国总统有关的同党流派,塞西果断严厉打击哈马斯能量,埃及 *** 针对哈马斯武裝组织的心态展现180度翻转,四面楚歌的哈马斯组织也遭遇資源受到限制之境。

图2.1:印度对哈马斯的心态变化

2016年,MoonLight组织曾被安全性企业ClearSky公布很有可能与哈马斯武装部队存有关系,根据简略掌握中东国家盘根错节的形势发觉该武装部队存有诸多地域矛盾难题,如:法塔赫与哈马斯的派系斗争、阿塞拜疆与非洲间的土地矛盾、埃及 *** 对哈马斯组织心态的变化这些,而这种矛盾目标刚好相匹配了该组织散播鱼饵文档中诸多话题讨论信息内容。

融合样版武器装备中时区、位置信息和MoonLight组织的历史时间主题活动,与大家本次检测到的攻击主题活动存有很多共同之处,根据此,奇安信APT试验室将本次攻击主题活动判断为MoonLight组织所做。

三、互联网武器装备剖析整理

1. 原始故意荷载释放出来

1.1 掩藏的自缓解压力可执行程序

该批号捕捉的样版原始故意荷载全是根据将自文件解压(SFX)掩藏为doc、jpg等文字照片方式,进而做到混淆是非的目地:

图3.1样版发掘时间轴

1.2 默然释放出来本身

此类压缩文件双击鼠标实行后可能依照事先设定的主要参数默然运行命令:

将本身缓解压力到temp文件目录或Appdata文件目录下;

启用mstha或Wscript程序运行故意脚本 *** 或故意URL;

为受害人展现鱼饵文本文档;

建立实行故意脚本 *** 的快捷方式图标。

2. 攻击脚本 *** 方式转变

2.1 缓解压力实行故意脚本 ***

2019年4月至8月,该组织的SFX自解压程序中包括了一个做为下载工具的故意脚本 *** ,该脚本 *** 会进行一系列下载任务,数次去搞混后实行真实的木马程序。

图3.2自缓解压力主要参数

图3.3 d.vbs动态性获得回连信息内容

2.2 快捷方式图标浏览URL

在2019年8月的某样版中包括了一个VBS脚本 *** 和一个快捷方式图标:做为Loader的VBS脚本 *** 可能实行history.ink,而该ink会将故意URL做为主要参数启用mstha程序流程完成了免费下载作用。这类浏览 *** 也可看作为事后攻击技巧升級的标示之一。

相关文章

剑与远征破碎之虚如何玩 剑与远征破碎之虚平民攻略

剑与远征破碎之虚如何玩 剑与远征破碎之虚平民攻略

剑与远征手游有很多玩法,这里说一下破碎之虚这个玩法,这个副本不难,不过有不少平民玩家发现不那么容易过关,那么,剑与远征破碎之虚怎么打,有没有技巧和诀窍呢,游戏中很多小伙伴不知道平民低战力通关方法,也不...

主角开挂小说排行榜,黑客找qq号地址,如何找黑客知道对方的id地址

本文假定你知道这些基本知识:将下载文件解包后,对歹意装置包的时刻戳进行计算,依据样本的时刻戳内容,这些歹意文件应该是运用生成器一致生成,且编译时刻在2014/3/13(不扫除人为修正或许),那么可估测...

微信刚刚删除的好友怎么恢复

微信里被删除的好友找回来的方法,以华为mate10手机为例:1、在手机上找到微信APP,点击打开,进入微信界面,如下图所示。 方法一:群聊加好友1、点击群聊天界面右上角“●●●”标志2、找到要重新加回...

多少天可以查出怀孕

  测试时间:有身10天,只有少数人可以测出来,大大都人是很难测几多出来的。因为有身10天了,体内绒毛膜促性腺素才刚开始发生并进入尿液,又因为刚发生,所以这个时候。   在房过后的7-10天即可检测,...

云舒黑客,找黑客盗联系方式,请黑客破解微信密码的工具

self.python_version int(str(entry.name)[6:8])SessionEnv(Remote Desktop Configuration)服务在发动时会加载C:Win...

巨帅黑客头像(黑客头像大全)

巨帅黑客头像(黑客头像大全)

本文导读目录: 1、一个人的微信用黑头像是什么意思? 2、Momo是谁 3、著名黑客组织anonymous的头像到底有什么含义 4、求一些黑客之类的图片,头像,, 5、最帅的黑客...