近日以色列安全公司ClearSky發(fā)現(xiàn)了一個活躍的APT攻擊組織Gaza Cybergang，下面就隨著FreeBuf來了解一下吧。

釣魚攻擊是關鍵

該組織在2012年首次被發(fā)現(xiàn)，他們改進并開發(fā)了一些定制的惡意軟件比如DownExecute,、XtremeRAT、 MoleRAT以及 DustSky (NeD Worm)。

而該組織最近一次行動Operation DustSky是在2016年初進行的，其攻擊目標主要是以色列、埃及、沙特阿拉伯以及伊拉克，方法是一般是魚叉式網絡釣魚活動，還有使用.NET環(huán)境下的惡意軟件程序DustSky進行網絡攻擊。

該安全公司在發(fā)布有關DustSky的第一篇報告之后， Gaza Cybergang就停止了一切活動。而停止活動的時間并不是很長，在2016年4月又開始對以色列一些新目標進行攻擊。

當然在這段時間里，其組織也在利用c++語言重寫編寫惡意軟件來提高病毒程序感染能力，甚至為了躲避安全公司的檢測，組織還轉移了目標——由以色列轉向美國。

該組織主要集中150多個不同的目標進行攻擊，其中有3/5的釣魚郵件重要集中在私人的電子郵件地址 (Gmail、Yahoo、Hotmail)。而這里要說明的一點就是惡意軟件DustySky（可以被看做是一個鍵盤記錄器），它最后出現(xiàn)是由c++語言編寫的。

欺騙安全公司

Gaza Cybergang前期的“套路”還是利用惡意釣魚郵件。郵件內容主要是用希伯來語、阿拉伯語還有英語，當然郵件中還有一個壓縮文件（RAR或ZIP），內含一個外部鏈接，甚至會出現(xiàn) .exe可執(zhí)行文件，有時還會以微軟Word文檔、視頻文件等形式出現(xiàn)。

而在研究中還發(fā)現(xiàn)了宏病毒，啟用宏功能之后，目標計算機就會感染惡意軟件，而攻擊者也會社工并誘導用戶打開它。攻擊者往往還會用到一些遠程工具，比如Poison ivy、Nano Core、 XtremeRAT、 DarkComet 以及Spy-Net。

攻擊者往往選擇的目標是金融機構、航空航天和國防工業(yè)等。下面就是一些例子。

　　接下來惡意軟件開始查找計算機中文件，篩選關鍵字文件，如下

攻擊者正在通過一切方式繞過基于代碼的傳統(tǒng)安全方案(如防病毒軟件、防火墻、IPS等)，例如C&C服務器（mafy.2waky[.]com）就是偽造和 radaronline.com一樣的網站，迷惑用戶

在2015年十二月，有三個病毒樣本被發(fā)到 malwr.com 以及 Virus Total平臺，樣本是一個word文檔，還有最后提交的日期是一樣的，用戶名[email protected]

　　后來上網搜索用戶名，找到了下面這些信息（網上已經不存在了）

安全研究人員列舉案例Operation DustySky之后，收到了一封電子郵件，但他們很快就認為這不是官方的郵件[email protected]

研究人員在后來甚至接到了電話，對方稱自己為政府官員，并被告知不要發(fā)布報告。

*參考