1. 威客安全首页
  2. 安全资讯

Tortoiseshell:属“猫”APT的组织

Tortoiseshell:属“猫”APT的组织

赛门铁克公司安全响应高级威胁分析师Jon DiMaggio近日发现了一个名为“Tortoiseshll”的APT组织,直译为玳瑁猫,又名imperial kitten,可暂且称其为御猫。该组织在过去一年多的时间里一直针对沙特阿拉伯的IT供应商进行攻击,为的是在其网络上收集这些公司的客户信息。目前,该组织已经攻击过11个机构,大多在沙特阿拉伯。

该组织被发现的时机是在波斯湾局势紧张之时。上周六,沙特阿拉伯的两个石油生产设施被无人机袭击,尽管也门胡塞叛乱承认此次袭击是其所为,但美国总统特朗普还是算到了伊朗政府的头上。据网络安全专家称,随着波斯湾局势的升级,恶意网络活动的风险会更加频发。无论是沙特阿拉伯还是伊朗,在过去10年里都有黑客攻击活动的存在。2009年,由美国和以色列开发的Stuxnet恶意软件破坏了伊朗的铀浓缩设施,破坏了1000台离心机。2012年沙特阿拉伯被Shamoon恶意软件攻击(分析人员将其归因到了伊朗黑客),破坏了沙特阿拉伯国家石油公司上万台电脑;而更近一些,2017年的Trisis恶意软件直接导致了沙特石化厂的关闭。

据赛门铁克的研究人员称,攻击者试图感染几百台受感染网络上的计算机,还在上面收集数据,包括IP地址和网络连接等。最初的攻击矢量还未知,但其中一个受害者是被受感染的Web服务器而受到攻击的。其表示现在还没有足够的信息将这次活动归到已知的组织或政府,但在其中一家被渗透的受害机构中使用了跟伊朗国家组织Oilrig(又称APT34)相同。尽管如此,赛门铁克依然不能将二者相关联,因为“没有代码重叠或共享的基础设施”;而美国网络安全公司CrowdStrike的情报副总裁Adam Meyers的说法是他们公司认为这些是支持伊朗伊斯兰革命卫队的黑客组织,从2017年就已经有动作了;另一家美国安全公司ThreatStop的安全研究主管John Bambennek则发现赛门铁克所分享的三个Syskit后门的哈希与Charming Kittern的Yara规则相符,总之众说纷纭。

小知识:Yara规则是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具,使用Yara可以基于文本或二进制模式创建恶意软件家族描述信息,当然也可以是其他匹配信息。YARA规则类似于C代码,通常由两部分组成:脚本定义和布尔表达式(condition)。

这只“猫”到底是玳瑁猫还是御猫抑或迷人小猫,反正是猫没跑了,但具体是谁?让我们拭目以待。

原文链接:http://www.mottoin.com/detail/4193.html

本站声明:网站内容来源于mottoin,如有侵权,请联系我们,我们将及时处理。

本文转为转载文章,本文观点不代表威客安全立场。

联系我们

4006-119-120

在线咨询:点击这里给我发消息

邮件:public@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

X