近日，安全研究人员发现了一个针对美国、沙特阿拉伯和韩国等国家航空航天、国防以及能源机构的网络间谍组织。 [出自:jiwo.org]

根据美国网络安全公司FireEye于本周三（9月20日）发布的最新研究报告指出，伊朗一支名为“高级持续威胁33（或APT33）”的黑客组织至少从2013年开始就针对一些国家的关键基础设施、能源以及军事机构实施网络间谍活动，旨在收集这个机构的情报和窃取商业机密。

此外，FireEye公司也表示，其有证据表明APT33是为伊朗政府工作的网络间谍组织。FireEye研究人员最早从2016年5月就发现了APT33组织的网络攻击行为，并发现该组织已经将目标瞄准了军事和商业领域的组织机构，包括航空航天部门以及能源和石油化工等相关部门。APT33组织的受害者包括一家美国航空航天公司、一家沙特阿拉吧航空业务公司以及一家有关石油炼制和石化产品的韩国公司。

【APT33组织攻击范围】

网络钓鱼邮件+恶意软件实施攻击

在2017年5月这场最近的攻击活动中，APT33还利用恶意文件对沙特阿拉伯和韩国商业机构的员工实施网络钓鱼攻击。FireEye在报告中表示，

我们认为，针对沙特阿拉伯的攻击活动可能是想要获取区域竞争对手的商业机密；而针对韩国的攻击活动可能是由于韩国最近和伊朗石化行业的合作关系，以及韩国与沙特阿拉伯石油化工公司也存在合作关系。

据悉，APT33组织主要通过发送带有恶意HTML链接的网络钓鱼邮件来感染目标企业的计算机系统，该组织经常使用的恶意软件包括DROPSHOT（dropper）、SHAPESHIFT（wiper）以及TURNEDUP（定制后门）。

【APT33组织使用的恶意.hta文件样本】

然而，在卡巴斯基公司之前的研究中，DROPSHOT被其研究人员追踪为“StoneDrill”，并被认为是Shamoon 恶意软件的更新版本。该恶意软件的目标是欧洲石油公司，它可以在安装过程中不再使用磁盘驱动器的隐藏分区来逃避检测。它用一个擦除模块注入到与用户的首选浏览器相关的计算机内存中。

FireEye在其报告中指出，

尽管我们只是直接观察到APT33使用DROPSHOT来提供TURNEDUP后门，但是我们已经确定了多个在野使用的DROPSHOT样本，其中包括SHAPESHIFT。SHAPESHIFT恶意软件可以擦除磁盘、删除卷以及文件等，具体取决于其配置。

据FireEye称，去年，APT33组织已经从多个域名发送了数以百计的网络钓鱼邮件，这些域名会伪装成沙特阿拉伯航空公司或其他国际组织，包括波音、阿尔萨拉姆飞机公司以及诺斯罗普·格鲁曼航空公司等。

【用于发送网络钓鱼邮件的域名】

与伊朗政府有关的黑客组织

此外，该安全公司还认为APT33组织与Nasr Institute——一个实施网络战的伊朗政府组织有关。

今年7月，趋势科技和以色列公司ClearSky的研究人员发现了另一份伊朗网络间谍小组，名为“Rocket Kittens”，该小组自2013年开始活跃，攻击目标主要为以色列、沙特阿拉伯、土耳其、美国、约旦以及德国等。

但是，FireEye的报告中并没有提及两个黑客组织之间的任何关联。想要了解更多关于APT33组织的技术细节，可以点击查看FireEye的完整报告。