月光再临——MoonLight组织对于中东国家的全新攻击主题活动分析

访客3年前 (2021-01-17)关于黑客接单961

一、简述

自2019年4月至今，奇安信APT试验室在日常威协捕猎全过程中检测到一批对于阿塞拜疆及加沙地区的有组织的、连续性的互联网攻击个人行为，攻击范围广、被害范畴大，造成了比较严重的 *** 信息安全威协，对于此事大家時刻维持高度关心并详细分析。

另外观查到最近一部分安全性生产商公布数篇判定为“拍拍熊”（APT-C-37）的全新活动报告，众多汇报內容与大家本次公布的“月光再临”行動存有高度重叠。秉着认真细致、求实创新的科学研究心态，奇安信APT试验室对该批号攻击主题活动开展不断跟踪跟踪发掘，最后判断結果偏向了另一个在加沙地区主题活动很多年，疑是与哈马斯武装部队存有关系的MoonLight组织。该组织常常应用钓鱼邮件攻击，其攻击技巧和C&C命名规范与此次攻击主题活动存有众多符合点，因而大家秉着“相互尊重”和行业交流共享的标准发布本次剖析追溯全过程。

二、攻击组织情况详细介绍

1. MoonLight组织详细介绍

Vectra Networks称其为Moonlight，但别的名字包含Gaza Hacker Team，Gaza Cyber gang，DownExecute，XtremeRAT，Molerats和DustSky。安全性企业ClearSky在2016年6月表明，该组织很有可能与哈马斯组织有联络[1]。

该组织是出自于政冶主观因素的阿语 *** 威胁组织，对于中东地区和拉丁美洲（MENA）地域，尤其是阿塞拜疆国土。

在对该攻击组织2018年不断跟踪全过程中，鉴别出中东地区和北非地区十分类似的攻击者所应用的不一样技术性，但对于总体目标有时候一致。该发觉区别了加沙赛博帮內部运行的三个攻击组：

Group 1（經典的低费用预算工作组），也称之为MoleRAT；Gaza Cybergang Group2（初级复杂性），与已经知道的”Desert Falcons”有联络； Group3（更大复杂性），其主题活动之前被称作” Operation Parliament”[2]。

2. 地域难题、组织矛盾分析

地缘政治学情况：法塔赫与哈马斯间的较量

法塔赫期待创建的是一个以耶路撒冷为北京首都的民族国家，而哈马斯则期待创建的是一个 *** 教君权神授我国。彼此在意识形态工作上就拥有十分大的差别。次之，在看待非洲的心态上，法塔赫的心态更为实干，期待认可非洲，在会话的基本上处理巴以冲突。而哈马斯则更加极端化，死不承认非洲，认为坚持不懈武装斗争。彼此在对以抗争的路经上存有着极大的矛盾[3]。

2006年，“哈马斯”获得巴法律联合会大选，但早已意味着阿塞拜疆群众建议近半世纪的“法塔赫”回绝认可选举结果，彼此产生武装冲突，2007年6月“哈马斯”夺得了加沙地带控制区，“法塔赫”撤到约旦河西岸。现如今的哈马斯和法塔赫尽管达到调解，但一直未按约执行。

心态变化的埃及 *** ：印度前美国总统穆尔西曾是 *** 教刺客信条叛变组织组员，而哈马斯也与 *** 教刺客信条叛变有紧密联系，因而哈马斯获得一部分中东地区适用，但由于该组织模糊不清了抵抗运动和可怕组织中间的界线，很多人对该组织也呈 *** 心态。前美国总统穆尔西当政期内印度对哈马斯武装部队出示了很多的資源和适用，运用印度的波罗的海港口和正宗该武装部队得到从外部选购很多武器进到加沙地区。

但自2014年埃及总统塞西上场，为肃清流毒与前美国总统有关的同党流派，塞西果断严厉打击哈马斯能量，埃及 *** 针对哈马斯武裝组织的心态展现180度翻转，四面楚歌的哈马斯组织也遭遇資源受到限制之境。

图2.1：印度对哈马斯的心态变化

2016年，MoonLight组织曾被安全性企业ClearSky公布很有可能与哈马斯武装部队存有关系，根据简略掌握中东国家盘根错节的形势发觉该武装部队存有诸多地域矛盾难题，如：法塔赫与哈马斯的派系斗争、阿塞拜疆与非洲间的土地矛盾、埃及 *** 对哈马斯组织心态的变化这些，而这种矛盾目标刚好相匹配了该组织散播鱼饵文档中诸多话题讨论信息内容。

融合样版武器装备中时区、位置信息和MoonLight组织的历史时间主题活动，与大家本次检测到的攻击主题活动存有很多共同之处，根据此，奇安信APT试验室将本次攻击主题活动判断为MoonLight组织所做。

三、互联网武器装备剖析整理

1. 原始故意荷载释放出来

1.1 掩藏的自缓解压力可执行程序

该批号捕捉的样版原始故意荷载全是根据将自文件解压（SFX）掩藏为doc、jpg等文字照片方式，进而做到混淆是非的目地：