TopHat「禮帽」：利用受歡迎的第三方服務向中東地區發起網路攻擊

最近幾個月, 某安全廠商威脅情報團隊的研究人員通過受歡迎的第三方服務Google+、Pastebin和bit.ly觀察到一起網路攻擊活動，目標瞄準巴勒斯坦境內的個人和組織。

這起活動被稱為「TopHat（禮帽）」，攻擊者使用與巴基斯坦當前政治事件相關的文檔作為誘餌文件（採用阿拉伯語編寫），以誘使受害者打開，最終導致受害者計算機感染惡意軟體。

研究人員在博客文章中寫道：「最終的有效載荷是一個新的惡意軟體家族，我們根據在惡意軟體樣本中發現的字元串『Scote』將其命名。Scote為攻擊者提供後門訪問，我們觀察到它收集了來自Pastebin以及Google+個人資料的命令和控制（C2）信息。」

另外，Scote使用bit.ly鏈接遮蓋了C2 URL，因此受害者無法在點擊之前評估最終網站的合法性。

研究人員發現的攻擊始於2017年9月初，在少數情況下，所識別樣本的原始文件名是用阿拉伯文編寫的。

攻擊主要通過四種不同的技術部署，其中兩種涉及惡意的RTF文件，一種涉及自解壓縮的Windows可執行文件，最後一種則是使用RAR壓縮文件。

在第一種技術中，攻擊者使用惡意RTF文件向惡意站點發送HTTP請求，然後將受害者重定向該網站。

研究人員表示，第二種技術利用了去年7月份被稱為「不要殺死我的貓（Don』t Kill My Cat）」或「DKMC」的攻擊。這種攻擊從一個惡意的可執行文件開始，可以讓攻擊者載入一個包含shellcode的合法點陣圖（BMP）文件。

第三種技術同樣從惡意RTF文件開始，該文件利用了CVE-2017-0199，這是微軟在去年9月份修復的一個Microsoft Office和寫字板遠程代碼執行（RCE）漏洞。最終的有效載荷會將受害者重定向到第一種技術中相同的惡意網站。

誘餌文件與去年8月下旬報道的事件有關，巴勒斯坦總統阿巴斯宣布批准將計劃中的總統府改建為國家圖書館。

最後一種技術使用自解壓可執行文件來載入一個誘餌文檔，併產生一個Scote實例。所用的誘餌文件討論了總統馬哈茂德·阿巴斯解散巴勒斯坦權力機構（PA）的可能性。

研究人員指出，Scote還採用了各種技巧和手段來逃避檢測。但是，即使成功部署，它也僅能提供相對較少的功能，這可能是來源於它仍處於開發階段。

來源：北京青年報

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！