上周FireEye發(fā)布了一份名叫“Operation Saffron Rose”(藏紅花玫瑰行動?)的報告，稱一個名叫Ajax Security Team的黑客組織正在發(fā)起針對美國軍事工業(yè)的APT攻擊。本期回顧就聊聊這個重新浮出水面的伊朗黑客組織。

Operation Saffron Rose

Ajax Security Team(以下簡稱AST)的一個代號是"Cair3x"，但是"Cair3x"到底是誰未可知。在ICT(International Institute for Counter-Terrorism )2013年發(fā)布的“Cyber-Terrorism Activities Report”報告中稱，是"Cair3x"是一個人，真實的名字是Ali Ali Pur。分析認為AST是一個組織性很強的團體，和其他很多黑客組織類似，更像公司化運作。AST的另一個名字是Flying Kitten(飛貓)。

如果"Cair3x"是一個人，那么長什么樣子?沒有答案。不過，CrowdStrike給出了一張照片，這張截圖來自一個ID為“keyvan ajaxtm ”在Facebook上的截圖：

筆者做了一點小搜索，發(fā)現(xiàn)AST幾年前(不晚于09年)就比較活躍。當時AST主要是篡改一些伊朗國內(nèi)和以色列網(wǎng)站的主頁。下面是一個AST在2012年篡改以色列網(wǎng)站列表：

詭異的是AST在2013年底到2014年初突然銷聲匿跡。直到最近的重出水面，并演變成為專門針對大遼國軍工企業(yè)發(fā)起APT攻擊的組織。

AST發(fā)起的APT攻擊手段很大程度上依靠釣魚郵件發(fā)起魚叉式定向攻擊。如下：

這個來自“aeroconf2014[.]org”的邀請郵件就是用來釣魚的。如果接收郵件的人點擊郵件中的鏈接，就會訪問一個偽造的頁面：

上面的頁面是偽造某國際組織的網(wǎng)站。網(wǎng)站會提醒你下載一個代理軟件。你下了就中招了。惡意軟件如何提權(quán)和控制主機請大家閱讀FireEye的報告，這里不再贅述。

談到這里，安全人員提出了一個十分有意思的、同時也是“情理之中”的發(fā)現(xiàn)：AST的攻擊行為和兩年前被披露的大宋朝某黑客組織的攻擊行為頗有類似之處。專家發(fā)現(xiàn)AST在針對大遼國航空軍事工業(yè)機構(gòu)攻擊時，其釣魚并上傳提權(quán)木馬的魚叉式郵件攻擊的一個重要偽裝是打著Institute of Electrical and Electronics Engineers (IEEE) Aerospace Conference(IEEE航空大會)的幌子——釣魚郵件的域名是“aeroconf2014[.]org”(上文已提到)。據(jù)稱宋朝某黑客組織也曾用過類似的手段，當時宋朝黑客采用的釣魚郵件域名是“aeroconf2013[.]org”。

說到這里，需要簡單闡述一下當時所謂的宋朝黑客釣魚事件。該事件背后是大名鼎鼎的Sykipot，甚至有人干脆把該宋朝黑客組織稱為Sykipot。事實上，Sykipot是一個惡意軟件，通過釣魚郵件誘騙被攻擊者點擊鏈接，然后利用CVE-2011-0611、CVE-2012-1889等文件漏洞獲得對被攻擊者的系統(tǒng)權(quán)限，下載僵尸程序。這個僵尸程序通過SSL與遠程的控制臺(C&C服務器)通信，獲得指令。Sykipot經(jīng)過不斷變種和發(fā)展，當前已經(jīng)是第四代：

我不太明白宋朝黑客組織和AST到底有什么關(guān)系。好像看了很多文章也沒有說兩者存在什么可能的聯(lián)系。FireEye報告里提到了宋朝黑客攻擊的演進史。大概的結(jié)論就是，伊朗黑客組織和宋朝黑客組織有著相類似的演進過程。這真是一個很詭異的邏輯，就算類似，又能說明什么呢?我看，是已經(jīng)形成定式的思維使得每談到APT定向攻擊，必然拉上宋朝。

關(guān)于AST的故事暫時告一段落，不知道接下來AST會有什么驚人的舉動。會成為下一個SEA或者QCF?或是再次銷聲匿跡?讓我們拭目以待吧。

由抗D系統(tǒng)發(fā)起的DDoS攻擊

Incapsula公司(美國一家知名云安全服務提供商)在上周稱，中國和加拿大的兩家抗DDoS服務商系統(tǒng)被黑客用來發(fā)起面向Incapsula用戶的DDoS攻擊。據(jù)Incapsula稱，來自中國和加拿大的兩家抗D服務商系統(tǒng)的DDoS攻擊是DNS Flood，請求流量達到25Mpps，總攻擊(DNS requests)達到630億次，攻擊持續(xù)7小時。

按照Incapsula的分析，攻擊者并沒有采用反射放大，直接打的DNS request。如此一來，應該是發(fā)起攻擊的系統(tǒng)被控制了，然后發(fā)起的請求洪水。

和大家一樣，我很想知道這兩家抗D服務商到底是誰?可是搜遍了，也沒找到答案。

其他

有的朋友通過某些渠道反饋并建議，每期回顧增加更多的事件，側(cè)重大家都關(guān)心的重大事件。

我的回答是：

第一，熱點事件大家可以通過各種渠道獲得相關(guān)資訊，這些熱點反而不是我最大的關(guān)注;

第二，由于時間和精力所限，每期也只能重點分析和挖掘一、兩個事件。這已經(jīng)是不易的事情(以本期為例，雖然只是一個AST，但是需要參考的網(wǎng)頁/報告近20個)。對于其他有趣兒的事兒，歡迎分享，我們可以一起討論，大家可以一起挖。最后，就是參考鏈接的問題，已經(jīng)不止一個同學向我要鏈接。我只能說每期的回顧不是寫論文，很多參考鏈接不便公開發(fā)出來。如果真的需要，可以私下聯(lián)系。當然，能不能訪問，訪問后會不會中木馬，那就完全是您自己的事情了。

(完)