伊朗網(wǎng)絡(luò)間諜組織“復(fù)制貓（CopyKittens）”盡管僅擁有中等水平的相關(guān)黑客技能，但自2013披來(lái)已經(jīng)成功滲透了相當(dāng)可觀的數(shù)據(jù)。

半瓶水也能“響叮當(dāng)”

事實(shí)上，網(wǎng)絡(luò)攻擊組織并不一定需要擁有極高的技術(shù)水平才能給敵對(duì)一方施以巨大壓力。有時(shí)候，不成熟但持續(xù)存在的威脅行為同樣能夠收到奇效。

根據(jù)本周由以色列ClearSky網(wǎng)絡(luò)安全公司與Trend Micro公司聯(lián)合發(fā)布的報(bào)告表示，相當(dāng)一部分國(guó)家支持型網(wǎng)絡(luò)間諜行為并沒(méi)有顯示出顯著的高復(fù)雜度。與伊朗有所關(guān)聯(lián)的網(wǎng)絡(luò)間諜組織復(fù)制貓自2013年以來(lái)仍然設(shè)法從以色列、土耳其、沙特阿拉伯、約旦乃至美國(guó)的軍方及政府機(jī)構(gòu)、學(xué)術(shù)組織、市政當(dāng)局以及IT企業(yè)當(dāng)中成功竊取到大量數(shù)據(jù)。

在過(guò)去幾年當(dāng)中，“復(fù)制貓”曾經(jīng)先后使用數(shù)十個(gè)域名，其中大部分假冒微軟、谷歌、Amazon、Facebook以及甲骨文等企業(yè)，旨在進(jìn)行惡意軟件交付、托管惡意站點(diǎn)以及進(jìn)行命令與控制操作等。

盡管顯然存在資源受限問(wèn)題，但“復(fù)制貓”還是設(shè)法入侵了一部分在線新聞媒體與普通網(wǎng)站，而后利用其實(shí)施水坑式攻擊。

ClearSky公司威脅情報(bào)負(fù)責(zé)人伊雅·瑟拉表示，“他們?cè)诰W(wǎng)絡(luò)間諜組織當(dāng)中處于較低水平線，且未使用零日漏洞，他們自主開(kāi)發(fā)的工具在多個(gè)層面都要遜于其它同類(lèi)惡意組織。”

總體而言，該組織的戰(zhàn)術(shù)、技術(shù)與程序（TTP），主要包括惡意郵件附件、釣魚(yú)攻擊、Web應(yīng)用程序攻擊，這些并無(wú)亮眼之處，而且直到2016年開(kāi)始才著手利用水坑式攻擊。

然而，他們獲得的持續(xù)成功證明，技術(shù)水平相對(duì)較低但堅(jiān)持不懈的威脅方仍然能夠成功完成目標(biāo)。

復(fù)制貓的攻擊方式分析

瑟拉指出，“被伊朗設(shè)為潛在目標(biāo)的部門(mén)及國(guó)家確實(shí)面臨著安全風(fēng)險(xiǎn)”，且應(yīng)充分了解該惡意組織的TTP。

舉例來(lái)說(shuō)，復(fù)制貓傾向于通過(guò)IT供應(yīng)鏈中的安全弱點(diǎn)對(duì)組織機(jī)構(gòu)網(wǎng)絡(luò)進(jìn)行破壞。另外，其亦傾向于實(shí)施大量基于DNS的數(shù)據(jù)滲透及命令控制，這意味著該惡意集團(tuán)的潛在目標(biāo)有必要對(duì)自身DNS基礎(chǔ)設(shè)施進(jìn)行監(jiān)控。瑟拉同時(shí)強(qiáng)調(diào)稱(chēng)，復(fù)制貓方面同樣經(jīng)常利用社交媒體渠道（例如偽造的Facebook個(gè)人資料）接近并入侵目標(biāo)機(jī)構(gòu)。

關(guān)于“復(fù)制貓“有三份詳細(xì)報(bào)告

本周發(fā)布的報(bào)告是ClearSky公司針對(duì)復(fù)制貓組織發(fā)布的第三份相關(guān)分析結(jié)論。這份全新報(bào)告中包含有與該組織相關(guān)的一系列最新活動(dòng)細(xì)節(jié)、新近開(kāi)發(fā)的惡意軟件相關(guān)說(shuō)明、以及目前正在運(yùn)行且被復(fù)制貓用于進(jìn)行惡意軟件交付及攻擊的一份包含數(shù)十個(gè)新域名的清單。

在本周ClearSky與Trend Micro聯(lián)合發(fā)布的報(bào)告中，我們看到其根據(jù)新近開(kāi)發(fā)的惡意軟件樣本發(fā)現(xiàn)一項(xiàng).NET后門(mén)，負(fù)責(zé)為攻擊者提供在目標(biāo)系統(tǒng)之上下載并執(zhí)行惡意軟件的方式，同時(shí)搭配一款可在已入侵網(wǎng)絡(luò)當(dāng)中橫向移動(dòng)并竊取憑證信息的工具。VirusTotal內(nèi)的反病毒工具目前無(wú)法正常識(shí)別該組織開(kāi)發(fā)出的部分新工具。

“復(fù)制貓”組織此前曾經(jīng)用于入侵網(wǎng)絡(luò)的多款工具都有著合法的技術(shù)背景。舉例來(lái)說(shuō)，復(fù)制貓通常會(huì)利用Cobalt Strike這款商業(yè)軟件工具的試用版本在目標(biāo)網(wǎng)絡(luò)當(dāng)中搜索漏洞并進(jìn)行滲透。該組織曾經(jīng)使用的其它類(lèi)似工具還包括Metasploit、Mimikatz以及用于檢測(cè)可入侵Web服務(wù)器的Havij等軟件。

其攻擊目的較為單純的支持伊朗政府

瑟拉指出，“看起來(lái)他們的目標(biāo)應(yīng)該是盡可能多地收集目標(biāo)機(jī)構(gòu)的信息與數(shù)據(jù)。他們不分青紅皂白地滲透大量文件與電子表格，具體包括個(gè)人資料文檔、配置文件以及數(shù)據(jù)庫(kù)。”

而從惡意活動(dòng)的范圍與持續(xù)時(shí)間來(lái)看，復(fù)制貓無(wú)疑屬于民族國(guó)家支持型間諜組織。該惡意組織似乎并沒(méi)有受到經(jīng)濟(jì)利益的驅(qū)動(dòng)，但其行動(dòng)與伊朗以及該國(guó)利益存在多重關(guān)聯(lián)再一次證明了國(guó)家為其提供的強(qiáng)大支持。

關(guān)于三分“復(fù)制貓”的報(bào)告，請(qǐng)戳！