揭秘伊朗網路間諜組織「複製貓（CopyKittens）」

E安全7月26日訊 伊朗網路間諜組織「複製貓（CopyKittens）」儘管僅擁有中等水平的相關黑客技能，但自2013披來已經成功滲透了相當可觀的數據。

半瓶水也能「響叮噹」

事實上，網路攻擊組織並不一定需要擁有極高的技術水平才能給敵對一方施以巨大壓力。有時候，不成熟但持續存在的威脅行為同樣能夠收到奇效。

根據本周由以色列ClearSky網路安全公司與Trend Micro公司聯合發布的報告表示，相當一部分國家支持型網路間諜行為並沒有顯示出顯著的高複雜度。與伊朗有所關聯的網路間諜組織複製貓自2013年以來仍然設法從以色列、土耳其、沙烏地阿拉伯、約旦乃至美國的軍方及政府機構、學術組織、市政當局以及IT企業當中成功竊取到大量數據。

在過去幾年當中，「複製貓」曾經先後使用數十個域名，其中大部分假冒微軟、谷歌、Amazon、Facebook以及甲骨文等企業，旨在進行惡意軟體交付、託管惡意站點以及進行命令與控制操作等。

儘管顯然存在資源受限問題，但「複製貓」還是設法入侵了一部分在線新聞媒體與普通網站，而後利用其實施水坑式攻擊。

ClearSky公司威脅情報負責人伊雅·瑟拉表示，「他們在網路間諜組織當中處於較低水平線，且未使用零日漏洞，他們自主開發的工具在多個層面都要遜於其它同類惡意組織。」

總體而言，該組織的戰術、技術與程序（TTP），主要包括惡意郵件附件、釣魚攻擊、Web應用程序攻擊，這些並無亮眼之處，而且直到2016年開始才著手利用水坑式攻擊。

然而，他們獲得的持續成功證明，技術水平相對較低但堅持不懈的威脅方仍然能夠成功完成目標。

複製貓的攻擊方式分析

瑟拉指出，「被伊朗設為潛在目標的部門及國家確實面臨著安全風險」，且應充分了解該惡意組織的TTP。

舉例來說，複製貓傾向於通過IT供應鏈中的安全弱點對組織機構網路進行破壞。另外，其亦傾向於實施大量基於DNS的數據滲透及命令控制，這意味著該惡意集團的潛在目標有必要對自身DNS基礎設施進行監控。瑟拉同時強調稱，複製貓方面同樣經常利用社交媒體渠道（例如偽造的Facebook個人資料）接近併入侵目標機構。

關於「複製貓「有三份詳細報告

本周發布的報告是ClearSky公司針對複製貓組織發布的第三份相關分析結論。這份全新報告中包含有與該組織相關的一系列最新活動細節、新近開發的惡意軟體相關說明、以及目前正在運行且被複制貓用於進行惡意軟體交付及攻擊的一份包含數十個新域名的清單。

在本周ClearSky與Trend Micro聯合發布的報告中，我們看到其根據新近開發的惡意軟體樣本發現一項.NET後門，負責為攻擊者提供在目標系統之上下載並執行惡意軟體的方式，同時搭配一款可在已入侵網路當中橫向移動並竊取憑證信息的工具。VirusTotal內的反病毒工具目前無法正常識別該組織開發出的部分新工具。

「複製貓」組織此前曾經用於入侵網路的多款工具都有著合法的技術背景。舉例來說，複製貓通常會利用Cobalt Strike這款商業軟體工具的試用版本在目標網路當中搜索漏洞並進行滲透。該組織曾經使用的其它類似工具還包括Metasploit、Mimikatz以及用於檢測可入侵Web伺服器的Havij等軟體。

其攻擊目的較為單純的支持伊朗政府

瑟拉指出，「看起來他們的目標應該是儘可能多地收集目標機構的信息與數據。他們不分青紅皂白地滲透大量文件與電子表格，具體包括個人資料文檔、配置文件以及資料庫。」

而從惡意活動的範圍與持續時間來看，複製貓無疑屬於民族國家支持型間諜組織。該惡意組織似乎並沒有受到經濟利益的驅動，但其行動與伊朗以及該國利益存在多重關聯再一次證明了國家為其提供的強大支持。

關於三分「複製貓」的報告，http://www.clearskysec.com/tulip/

27

E安全推薦文章

官網：www.easyaq.com

2017年7月

01

02

03

04

05

06

07

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！