一周海外安全事件回顾(2014.05.12-05.18)

上周FireEye发布了一份名叫“Operation Saffron Rose”(藏红花玫瑰行动?)的报告,称一个名叫Ajax Security Team的黑客组织正在发起针对美国军事工业的APT攻击。本期回顾就聊聊这个重新浮出水面的伊朗黑客组织。

Operation Saffron Rose

Ajax Security Team(以下简称AST)的一个代号是”Cair3x”,但是”Cair3x”到底是谁未可知。在ICT(International Institute for Counter-Terrorism )2013年发布的“Cyber-Terrorism Activities Report”报告中称,是”Cair3x”是一个人,真实的名字是Ali Ali Pur。分析认为AST是一个组织性很强的团体,和其他很多黑客组织类似,更像公司化运作。AST的另一个名字是Flying Kitten(飞猫)。

如果”Cair3x”是一个人,那么长什么样子?没有答案。不过,CrowdStrike给出了一张照片,这张截图来自一个ID为“keyvan ajaxtm ”在Facebook上的截图:

笔者做了一点小搜索,发现AST几年前(不晚于09年)就比较活跃。当时AST主要是篡改一些伊朗国内和以色列网站的主页。下面是一个AST在2012年篡改以色列网站列表:

诡异的是AST在2013年底到2014年初突然销声匿迹。直到最近的重出水面,并演变成为专门针对大辽国军工企业发起APT攻击的组织。

AST发起的APT攻击手段很大程度上依靠钓鱼邮件发起鱼叉式定向攻击。如下:

这个来自“aeroconf2014[.]org”的邀请邮件就是用来钓鱼的。如果接收邮件的人点击邮件中的链接,就会访问一个伪造的页面:

上面的页面是伪造某国际组织的网站。网站会提醒你下载一个代理软件。你下了就中招了。恶意软件如何提权和控制主机请大家阅读FireEye的报告,这里不再赘述。

谈到这里,安全人员提出了一个十分有意思的、同时也是“情理之中”的发现:AST的攻击行为和两年前被披露的大宋朝某黑客组织的攻击行为颇有类似之处。专家发现AST在针对大辽国航空军事工业机构攻击时,其钓鱼并上传提权木马的鱼叉式邮件攻击的一个重要伪装是打着Institute of Electrical and Electronics Engineers (IEEE) Aerospace Conference(IEEE航空大会)的幌子——钓鱼邮件的域名是“aeroconf2014[.]org”(上文已提到)。据称宋朝某黑客组织也曾用过类似的手段,当时宋朝黑客采用的钓鱼邮件域名是“aeroconf2013[.]org”。

说到这里,需要简单阐述一下当时所谓的宋朝黑客钓鱼事件。该事件背后是大名鼎鼎的Sykipot,甚至有人干脆把该宋朝黑客组织称为Sykipot。事实上,Sykipot是一个恶意软件,通过钓鱼邮件诱骗被攻击者点击链接,然后利用CVE-2011-0611、CVE-2012-1889等文件漏洞获得对被攻击者的系统权限,下载僵尸程序。这个僵尸程序通过SSL与远程的控制台(C&C服务器)通信,获得指令。Sykipot经过不断变种和发展,当前已经是第四代:

我不太明白宋朝黑客组织和AST到底有什么关系。好像看了很多文章也没有说两者存在什么可能的联系。FireEye报告里提到了宋朝黑客攻击的演进史。大概的结论就是,伊朗黑客组织和宋朝黑客组织有着相类似的演进过程。这真是一个很诡异的逻辑,就算类似,又能说明什么呢?我看,是已经形成定式的思维使得每谈到APT定向攻击,必然拉上宋朝。

关于AST的故事暂时告一段落,不知道接下来AST会有什么惊人的举动。会成为下一个SEA或者QCF?或是再次销声匿迹?让我们拭目以待吧。

由抗D系统发起的DDoS攻击

Incapsula公司(美国一家知名云安全服务提供商)在上周称,中国和加拿大的两家抗DDoS服务商系统被黑客用来发起面向Incapsula用户的DDoS攻击。据Incapsula称,来自中国和加拿大的两家抗D服务商系统的DDoS攻击是DNS Flood,请求流量达到25Mpps,总攻击(DNS requests)达到630亿次,攻击持续7小时。

按照Incapsula的分析,攻击者并没有采用反射放大,直接打的DNS request。如此一来,应该是发起攻击的系统被控制了,然后发起的请求洪水。

和大家一样,我很想知道这两家抗D服务商到底是谁?可是搜遍了,也没找到答案。

其他

有的朋友通过某些渠道反馈并建议,每期回顾增加更多的事件,侧重大家都关心的重大事件。

我的回答是:

第一,热点事件大家可以通过各种渠道获得相关资讯,这些热点反而不是我最大的关注;

第二,由于时间和精力所限,每期也只能重点分析和挖掘一、两个事件。这已经是不易的事情(以本期为例,虽然只是一个AST,但是需要参考的网页/报告近20个)。对于其他有趣儿的事儿,欢迎分享,我们可以一起讨论,大家可以一起挖。最后,就是参考链接的问题,已经不止一个同学向我要链接。我只能说每期的回顾不是写论文,很多参考链接不便公开发出来。如果真的需要,可以私下联系。当然,能不能访问,访问后会不会中木马,那就完全是您自己的事情了。

(完)

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/135962.html<

(0)
管理的头像管理
上一篇2025-03-01 20:58
下一篇 2025-03-01 20:59

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注