APT33同时利用多个僵尸网络攻击目标

APT33常以石油和航空业为攻击目标，最近的调查结果显示，该组织一直在使用大约12台经过多重混淆的C&C服务器来攻击特定目标。该组织主要在中东、美国和亚洲地区开展的针对性极强的恶意攻击活动。

每一个僵尸网络由12台以上受感染的计算机组成，用来攻击的恶意软件只有基本的功能，包括下载和运行其他恶意软件。2019年的活跃感染者包括一家提供国家安全相关服务的美国私营公司、受害目标包括美国大学、美国军方以及中东和亚洲的几名受害者。

在过去的几年里，APT33变得更具有攻击性。例如，两年来该组织利用一位欧洲高级政治家（该国国防委员会成员）的私人网站，向石油产品供应链公司发送鱼叉式钓鱼电子邮件。目标包括供水设施，美国陆军使用该设施为其一个军事基地提供饮用水。

这些攻击导致石油工业设施收到感染。例如，在2018秋季发现英国的石油公司服务器与APT33C＆C服务器之间的通信。另一家欧洲石油公司在2018年11月和12月服务器上遭受了至少3周的与APT33相关的恶意软件感染。在石油供应链中，还有其他几家公司也在2018年秋季受到攻击。

上表中的前两个电子邮件地址（以.com和.aero结尾）是假冒地址，但是，以.ga结尾的地址来自攻击者自己。这些地址都是在冒充知名航空和油气公司。

除了APT33对石油产品供应链的攻击外，该组织使用了多个C&C来构建小型僵尸网络。

APT33攻击十分小心，追踪也更加困难。C＆C托管在云服务器上，这些代理将受感染的机器URL请求转发到共享Web服务器，这些服务器可以承载数千个合法域，后端将数据发送到专用IP地址上的聚合节点和控制服务器。APT33利用不同的节点及变换规则来组成私人vpn网络，利用不同的连接来收集受感染机器的信息。

2019年秋统计了10台实时数据聚合节点和控制服务器数据，并对其中几个服务器进行了数月的跟踪。这些聚合节点从很少的C&C服务器（只有1个或2个）获取数据，每个C&C最多有12个受害者。下表列出了一些仍然存在的C&C。

在管理C&C服务器和进行侦察时，攻击者经常使用商业VPN服务来隐藏他们的行踪，还经常看到攻击者使用他们为自己设置的私有VPN网络。

通过从世界各地数据中心租用服务器，并使用open VPN等开源软件，可以轻松地建立私有VPN。尽管私有VPN网络连接来自世界各地不相关的IP地址，但这种流量实际上更容易跟踪。一旦我们知道退出节点主要由特定的攻击者使用，可以对退出节点的IP地址归属地进行查询。

已知相关IP地址如下：

这些私人VPN出口节点也用于侦察与石油供应链有关的网络，攻击者利用表3中的一些IP地址在中东石油勘探公司和军事医院以及美国石油公司网络上进行侦察。

APT33使用其专用VPN网络访问渗透测试公司的网站、网络邮件、漏洞网站和与加密货币相关的网站，以及阅读黑客博客和论坛。建议石油和天然气行业的公司将其安全日志文件与上面列出的IP地址交叉关联。

安全建议

石油、天然气、水和电力设施的不断现代化，保障这些设施更加困难。以下是这些组织可以采用的一些做法：

 1、为所有系统建立定期修补和更新策略。尽快下载补丁程序，防止网络罪犯利用这些安全漏洞。
 2、提高员工对网络罪犯使用的最新攻击技术的认识。
 3、IT管理员应应用最小权限原则，以便更轻松地监视入站和出站流量。
 4、安装多层保护系统，可以检测并阻止从网关到端点的恶意入侵。

IOCs

*参考来源： trendmicro ，由Kriston编译，转载请注明来自FreeBuf.COM