近日以色列安全公司ClearSky發(fā)現(xiàn)了一個(gè)活躍的APT攻擊組織Gaza Cybergang，下面就隨著筆者來(lái)了解一下吧！

[[167316]]

釣魚(yú)攻擊是關(guān)鍵

該組織在2012年首次被發(fā)現(xiàn)，他們改進(jìn)并開(kāi)發(fā)了一些定制的惡意軟件比如DownExecute,、XtremeRAT、 MoleRAT以及 DustSky (NeD Worm)。而該組織最近一次行動(dòng)Operation DustSky是在2016年初進(jìn)行的，其攻擊目標(biāo)主要是以色列、埃及、沙特阿拉伯以及伊拉克，方法是一般是魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)活動(dòng)，還有使用.NET環(huán)境下的惡意軟件程序DustSky進(jìn)行網(wǎng)絡(luò)攻擊。

該安全公司在發(fā)布有關(guān)DustSky的第一篇報(bào)告之后， Gaza Cybergang就停止了一切活動(dòng)。而停止活動(dòng)的時(shí)間并不是很長(zhǎng)，在2016年4月又開(kāi)始對(duì)以色列一些新目標(biāo)進(jìn)行攻擊。當(dāng)然在這段時(shí)間里，其組織也在利用c++語(yǔ)言重寫(xiě)編寫(xiě)惡意軟件來(lái)提高病毒程序感染能力，甚至為了躲避安全公司的檢測(cè)，組織還轉(zhuǎn)移了目標(biāo)——由以色列轉(zhuǎn)向美國(guó)。

該組織主要集中150多個(gè)不同的目標(biāo)進(jìn)行攻擊，其中有3/5的釣魚(yú)郵件重要集中在私人的電子郵件地址 (Gmail、Yahoo、Hotmail)。而這里要說(shuō)明的一點(diǎn)就是惡意軟件DustySky( 可以被看做是一個(gè)鍵盤(pán)記錄器 )，它最后出現(xiàn)是由c++語(yǔ)言編寫(xiě)的。

欺騙安全公司

Gaza Cybergang前期的“套路”還是利用惡意釣魚(yú)郵件。郵件內(nèi)容主要是用希伯來(lái)語(yǔ)、阿拉伯語(yǔ)還有英語(yǔ)，當(dāng)然郵件中還有一個(gè)壓縮文件(RAR或ZIP)，內(nèi)含一個(gè)外部鏈接，甚至?xí)霈F(xiàn) .exe可執(zhí)行文件，有時(shí)還會(huì)以微軟Word文檔、視頻文件等形式出現(xiàn)。而在研究中還發(fā)現(xiàn)了宏病毒，啟用宏功能之后，目標(biāo)計(jì)算機(jī)就會(huì)感染惡意軟件，而攻擊者也會(huì)社工并誘導(dǎo)用戶打開(kāi)它。攻擊者往往還會(huì)用到一些遠(yuǎn)程工具，比如Poison ivy、Nano Core、 XtremeRAT、 DarkComet 以及Spy-Net。

攻擊者往往選擇的目標(biāo)是金融機(jī)構(gòu)、航空航天和國(guó)防工業(yè)等。下面就是一些例子。

接下來(lái)惡意軟件開(kāi)始查找計(jì)算機(jī)中文件，篩選關(guān)鍵字文件，如下

攻擊者正在通過(guò)一切方式繞過(guò)基于代碼的傳統(tǒng)安全方案(如防病毒軟件、防火墻、IPS等)，例如C&C服務(wù)器(mafy.2waky[.]com)就是偽造和 radaronline.com一樣的網(wǎng)站，迷惑用戶

在2015年十二月，有三個(gè)病毒樣本被發(fā)到 malwr.com 以及 Virus Total平臺(tái)，樣本是一個(gè)word文檔，還有最后提交的日期是一樣的，用戶名moayy2ad@hotmail.com

后來(lái)上網(wǎng)搜索用戶名，找到了下面這些信息(網(wǎng)上已經(jīng)不存在了)

安全研究人員列舉案例Operation DustySky之后，收到了一封電子郵件，但他們很快就認(rèn)為這不是官方的郵件idf.cyber@gmail.com