深入分析Spark后门的多个版本，逐步揭秘Molerats恶意组织活动轨迹

一、摘要
2019年10月至12月期间，Unit 42团队观察到多次网络钓鱼攻击活动，这些攻击可能与名为Molerats的威胁组织（又名Galer Hackers Team或Gaza Cybergang）有关，攻击活动针对位于六个不同国家的八个组织，这些组织涉及政府、电信、保险和零售业，其中的后两个行业非常值得关注。此次攻击者针对保险和零售业的攻击目标是非常独特的，不符合该恶意组织此前一贯攻击的目标范围。在针对这些特殊的目标发起攻击时，恶意组织所使用的电子邮件和附件文件名称与攻击政府组织时使用的标题类似。由于攻击者没有针对特定行业或目标而定制社会工程学标题，因此可能会降低成功攻击的概率，并进一步迷惑研究人员关于为何要攻击这些组织的分析过程。
所有这些攻击都涉及到鱼叉式网络钓鱼电子邮件，以传递恶意文档，这些恶意文档要求收件人执行某些操作。其中，使用到的社会工程学技术包括诱导图像，试图诱导用户手动启用宏。除此之外，在文档内容中甚至还包含了存在威胁的图片，诱导用户单击链接以下载恶意Payload。在攻击活动中，所使用的Payload大多数一个被称为Spark的后门，该后门可以在受感染的系统上打开特定应用程序并运行命令行中的命令。
至少从2017年开始，Molerats就开始使用了Spark后门，并且该恶意组织与针对加沙地区的恶意活动“Operation Parliament”有关联，因此我们将其归为Gaza Cybergang恶意组织。我们发现，该恶意组织在攻击中曾使用过与JhoneRAT相关的Payload，这表明该恶意组织可能已经在其工具集中添加了另一个自定义的Payload。
Molerats早在2011年就针对全球政府组织发动攻击，其攻击行为主要是与未授权访问、敏感数据收集相关。研究人员观察到该恶意组织使用了一系列策略和技术，包括利用可公开获取的后门工具（例如：PoisonIvy和XtremeRAT）来创建定制开发的产品（例如：KASPERAGENT和MICROPSIA）。在我们跟踪的恶意活动中，该恶意组织主要依靠社会工程学和鱼叉式网络钓鱼技术作为其初始感染没接，然后依靠多层命令和控制（C2）服务器来分发恶意软件。
由于Molerats使用了包括使用密码保护投递的文档、只能在使用阿拉伯语输入法和语言环境的系统上运行、使用商业加壳工具Enigma混淆Payload等多种技术，这使得检测和分析过程变得困难。Spark的C2通道同样采取了技术手段逃避检测，其HTTP POST请求和响应中的数据使用了3DES或AES的加密方式，并且使用了随机生成的密钥，这些密钥对于每个Payload而言都是唯一的。
二、发现威胁
2019年11月，Unit 42发现一封针对沙特阿拉伯政府组织的网络钓鱼电子邮件。该攻击中使用了带有密码保护的Microsoft Word文档，其中包含嵌入式宏。该文档的密码已经在电子邮件正文中提供给潜在受害者。
利用我们的AutoFocus工具，我们发现了从2019年10月2日到2019年12月9日期间攻击者开展的多次攻击。这些电子邮件都是发送到政府和电信行业的组织中，并且使用了特定和通用的电子邮件主题和附件文件名。我们还看到在此次攻击中涉及两个美国的组织，一个属于零售业，另一个属于保险业。
这些电子邮件所附带的附件都是文档，其中大多数是Word文档，也包含一个PDF文档。下面列举出了此次攻击活动中攻击者所使用的恶意电子邮件的详情，包括详细信息及目标信息。在本文中，我们将分析下表所列出的7封恶意邮件中的3封，因为其中文件名带有MOFA的四个恶意文件之间非常相似。最后的一个恶意文件（Urgent.docx）在Cisco Talos此前对一种名为JhoneRAT的新型Payload的研究中进行过详细分析，这可能表明该恶意组织在此次攻击活动中也使用了JhoneRAT。
在攻击活动中发现的鱼叉式网络钓鱼电子邮件的详情：
日期：2019-10-2
标题：MOFA reports 03-10-2019
附件：MOFA- 031019.doc
SHA-256：d19104ef4f443e8..
国家：阿联酋
行业：政府
日期：2019-10-3
标题：03-10-2019
附件：MOFA- 031019.doc
SHA-256：d19104ef4f443e8..
国家：英国、西班牙
行业：政府
日期：2019-10-5
标题：06-10-2019
附件：MOFA- 061019.doc
SHA-256：03be1d7e1071b01..
国家：阿联酋
行业：政府
日期：2019-10-10
标题：MOFA Reports
附件：MOFA- 101019.doc
SHA-256：011ba7f9b4c508f..，ddf938508618ff7..
国家：美国
行业：保险、零售
日期：2019-10-31
标题：لعناية معاليكم – المرفق 31-10-2019
附件：attachment.doc
SHA-256：eaf2ba0d78c0fda..
国家：吉布提
行业：电信
日期：2019-11-2
标题：لعناية معاليكم – المرفق 31-10-2019
附件：attachment.doc
SHA-256：eaf2ba0d78c0fda..
国家：吉布提
行业：电信
日期：2019-11-18
标题：صورك
附件：Pictures.pdf
SHA-256：9d6ce7c585609b8..
国家：西班牙
行业：政府
日期：2019-11-24
标题：مخطط الجهاد الاسلامي لمباغتة اسرائيل وضرب التهدئة
附件：Urgent.docx
SHA-256：273aa20c4857d98..
国家：吉布提
行业：电信
日期：2019-12-9
标题：محضر اجتماع قيادة المخابرات العامة مع وفد حركة حماس 09-12-2019

[1] [2] [3] [4] [5] [6] [7]  下一页