APT33通过专用VPN网络瞄准石油和航空公司
- APT33依靠专用VPN网络来控制小型僵尸网络并收集关键信息。
- 研究人员借此机会将恶意IP地址与VPN流量相关联。
- 威胁参与者已经暴露了其基础架构,因此他们将报废并重建它。
根据趋势科技研究人员的报告,APT33黑客组织目前正通过位于多个混淆层后面的新C&C基础结构,将目标对准石油和航空业。这些伊朗人因数次令人讨厌的在线活动而闻名,其中最著名的是他们的Shamoon数据擦除恶意软件,该恶意软件早在2017年就瞄准了石油公司。但是,趋势科技似乎已经在掩盖他们的足迹方面犯了一个错误设法确定了一个小型专用VPN网络,他们将其用于连接到数据聚合器。
来源:趋势科技
APT33正在部署小型僵尸网络,每个僵尸网络由十几个僵尸网络组成,这些僵尸网络由托管在云代理中的多个C&C域控制。研究人员已经发现了十个实时机器人数据聚合和机器人控制服务器,它们似乎参与了非常狭窄的目标操作。机器人操作员躲在自定义VPN网络后面,因此IP地址和位置被屏蔽。网络的出口节点经常更改,从而使跟踪更加困难。事实是,由于APT33设置了自己的自定义OpenVPN实施,因此,趋势科技可以更轻松地实际确定其真实IP地址。如果他们使用商业VPN解决方案,他们将能够更轻松地“融入人群”。结果是连接到APT33活动的以下IP地址表:
来源:趋势科技
正如趋势科技详细介绍的那样,这些参与者仍在瞄准石油行业,进行网络侦察。确定的其他目标还包括美国公司和中东的军事医院。黑客通过其专用VPN网络访问的网站涉及渗透测试公司,Webmail,漏洞数据库,加密货币网站以及各种黑客博客和论坛。综上所述,APT33的目标仍然中心化在处理关键基础设施,资源和运营的知名公司上。
这意味着石油工业公司应使用趋势科技团队提供的IP地址交叉检查其安全日志文件。除此之外,研究人员还提供了一些可靠的安全建议,例如安装多层保护系统,入侵过滤机制,在补丁可用后立即应用补丁以及对员工培训进行投资。 APT33现在受到了打击,但这并不能阻止他们现在改变其基础设施和混淆方法。他们的封面被炸了,但远没有被发现。