近日，安全公司 ClearSky 发现伊朗 “ OilRig ”APT 组织正在利用数字签名恶意软件和虚假的牛津大学域名发起新一轮攻击活动。该黑客组织被认为与伊朗相关，至少从2015年就已经存在了。

Palo Alto Networks公司的安全研究人员已经监视了该组织一段时间，据悉，该组织自 2015 年以来一直针对以色列、中东和其他国家发起攻击。在最近的攻击中，他们建立了一个假的 VPN 门户网站并传播具有合法数字签名的恶意软件，攻击目标涉及位于沙特阿拉伯、以色列、阿联酋、黎巴嫩、科威特以及卡塔尔、美国、土耳其等多个国家的政府机构、金融机构、邮局以及科技公司等。

这项行动被Palo Alto Networks公司称为 “OilRig”，经过追踪，该公司发现武器化Microsoft Excel电子表格名为 “Clayslide”，后门被称为“Helminth”。OilRig的威胁攻击者通过鱼叉式网络钓鱼电子邮件和启用宏的恶意Excel文件散播Helminth。

然而最近，我们又发现了新一轮的“OilRig活动”，攻击目标涉及多个以色列国家的IT供应商、金融机构以及国家邮政服务等。

ClearSky 的安全研究人员发现，伊朗黑客建立了一个虚假的 Juniper Networks VPN 网站，并使用已经被黑的 IT 供应商的电子邮件帐户发送邮件来诱骗受害者。

ClearSky公司发布的分析报告指出，电子邮件从一个已经被入侵的IT供应商的账户发出。而同一时间，也有类似的电子邮件从其他IT供应商账户中发出，这就意味着，攻击者在他们的网络中有一个据点，或者说至少可以获得特定计算机或电子邮箱账户的访问权。

根据分析我们发现，恶意电子邮件中的链接重定向到该虚假网站，一旦用户进入该假冒网站就会被要求输入用户名和密码，此外还会要求受害者安装“ VPN 客户端”，而这时攻击者就会在合法的Juniper VPN 软件中捆绑恶意软件 Helminth 。

分析还发现，黑客用来签署VPN 客户端和恶意软件所使用的是赛门铁克公司发行给美国软件公司的有效代码签名证书，称为“AI Squared”。此外，研究人员还发现了用另一个证书签名的Helminth恶意软件样本。

另一个Helminth样本，1c23b3f11f933d98febfd5a92eb5c715，是用一种不同的AI Squared代码签名证书进行数字签名的：

指纹（Thumbprint）：92B8C0872BACDC226B9CE4D783D5CCAD61C6158A
序列号：62 E0 44 E7 37 24 61 2D 79 4B 93 AF 97 46 13 48

这就意味着，黑客在入侵他们的网络后掌握了AI Squared签名密钥，或者说，黑客有可能让赛门铁克公司为他们发行了AI Squared的证书。

此外，安全研究人员还发现该黑客组织还注册了四个属于牛津大学的域名（oxford-symposia[.]com、oxford-careers[.]com、oxford[.]in 、oxford-employee[.]com ）。

在其中一个案例中，黑客建立了一个虚假的牛津会议注册网站，当受害者访问该假冒的网站时，网站会提示需要在预先注册之前下载、安装一个预先注册工具（恶意软件），该恶意工具也使用 AI Squared 的证书签名。

2015年12月，赛门铁克研究人员详细的分析了两个伊朗黑客组织——“Cadelle”和“Chafer”。在其报告中指出，OilRig APT 组织和Chafer 黑客组织所使用的 C＆C 服务器 IP 地址 83.142.230.138 是一样的。这种情况说明， Chafer 和 Oilrig 是相同的伊朗 APT 组织。

详细技术细节分析点击查看ClearSky报告