简介

研究人员最近披露了一个网络监控组织攻击位于美国、沙特阿拉伯和韩国的航空航天、国防和能源组织机构。

代表伊朗政府行动

火眼公司在最新发布的研究报告中指出，一个自称为APT33的伊朗黑客组织至少从2013年起就针对关键基础设施、能源和军事部门发动攻击，以此收集情报窃取商业机密。

火眼公司还指出有证据表明APT33代表伊朗政府开展行动。

跟受害者之间存在利益关系

火眼公司的研究人员指出，至少从2016年5月起就发现APT33发动的网络攻击，并发现APT33成功攻击军用和商用航空航天组织机构，以及跟石化相关的能源组织机构。

APT33的受害者包括从事航空航天业的一家美国公司、持有航空航天股份的一家沙特阿拉伯商业巨头、以及一家从事石油提炼和石化行业的韩国公司。

2017年5月，APT33利用一个恶意文件攻击一家沙特阿拉伯组织机构和一家韩国商业机构的员工，试图以沙特阿拉伯石化公司的职位空缺信息诱骗员工。

火眼公司的报告指出，“我们认为针对这家沙特组织机构的目的可能是试图获取区域竞争对手的情况，而攻击韩国公司可能是因为韩国最近跟伊朗石化行业建立合作伙伴关系、以及韩国跟沙特石化公司之间的关系。”

APT33通过含有恶意HTML链接的鱼叉式钓鱼邮件传播恶意软件感染目标计算机。APT33使用的诶软件包括DROPSHOT （病毒释放器）、SHAPESHIFT（擦除器）和TURNEDUP（自定义后门，是最后阶段的payload）。不过卡巴斯基此前发布报告将DROPSHOT命名为StoneDrill，它的攻击目标是欧洲的石油公司，并被认为是Shamoon 2恶意软件的变体。

火眼报告指出，“虽然我们仅仅直接观察到APT33使用DROPSHOT传播TURNEDUP后门，但我们从释放SHAPESHIFT的攻击中发现了多个DROPSHOT样本。”SHAPESHIFT恶意软件能擦除磁盘，清除硬盘并删除文件，这些都取决于它的配置情况。

火眼公司指出，APT33去年从多个伪装成沙特阿拉伯航空公司和国际组织机构（如波音等）的域名发送数百份鱼叉式钓鱼邮件。火眼公司认为APT33跟开展网战行动的伊朗政府组织机构Nasr机构之间存在关联。

跟另外一个监控组织有关？

7月，趋势科技公司和以色列公司ClearSky的研究人员发现了另外一个伊朗监控组织Rocket Kittens，它也活跃于2013年且针对多个组织机构和多名个人发动攻击，包括以色列、沙特阿拉伯、土耳其、美国、约旦和德国的外交官和研究员。

然而，火眼报告并未说明这两个黑客组织之间存在任何关联。更多技术详情，可参见火眼公司发布的博客文章。