Molerats - TA402 高级持续威胁 (APT) 组织

已于 2024-04-27 15:17:46 修改
阅读量802 收藏 12
点赞数 23
分类专栏: 威胁分析 文章标签: 威胁分析 网络安全
于 2024-04-27 15:16:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34594929/article/details/138246285
版权

一 、 前言:

Molerats,也称为 TA402,是一个出于政治动机的阿拉伯语高级持续威胁 (APT) 组织,自 2012 年以来一直在运作。该组织主要针对中东、欧洲和美国的实体。 Molerats 因其使用社会工程策略、鱼叉式网络钓鱼活动和部署恶意软件来渗透目标而闻名。该组织开发了一个自定义工具包,其中包括 Spark 等后门和用于间谍活动的 LastConn 等公开恶意软件工具。

最近,人们发现 Molerats 在针对中东国家、外交政策和一家国有航空公司的网络间谍活动中使用了名为“NimbleMamba”的新植入程序。该活动利用地理围栏和 URL 重定向到合法网站,并与巴勒斯坦利益相关。还观察到 Molerats 利用地区冲突来欺骗目标点击恶意链接。

除了政府和政治目标外,Molerats 还针对中东银行业的重要成员、人权活动人士和其他实体。该组织使用基于宏的 MS Office 文件、.NET 后门和云服务来传播恶意软件并窃取数据。缺少有关鼹鼠成功入侵或泄露数据总数的信息。

二、TA402使用的技术

技术使用概览

引导或登录自动启动执行
  • 领域: 企业
  • ID: T1547.001
  • 名称: 引导或登录自动启动执行:注册表运行键/启动文件夹
  • 用途: Molerats将恶意文件保存在 AppData 和 Startup 文件夹中以保持持久性。
命令和脚本解释器

  • 领域: 企业

  • ID: T1059.001

  • 名称: 命令和脚本解释器:PowerShell

  • 用途: Molerats在目标机器上使用 PowerShell 植入。

  • ID: T1059.005

  • 名称: 命令和脚本解释器:Visual Basic

  • 用途: Molerats在目标机器上使用了各种植入程序,包括用 VBScript 构建的植入程序。

  • ID: T1059.007

  • 名称: 命令和脚本解释器:JavaScript

  • 用途: Molerats在目标机器上使用了各种植入物,包括用 JS 构建的植入物。

凭据获取
  • 领域: 企业
  • ID: T1555.003
  • 名称: 来自密码存储的凭据:来自 Web 浏览器的凭据
  • 用途: Molerats使用公共工具 BrowserPasswordDump10 将浏览器中保存的密码转储到受害者身上。
反混淆/解码文件或信息
  • 领域: 企业
  • ID: T1140
  • 名称: 反混淆/解码文件或信息
  • 用途: Molerats在受害计算机上解压缩 ZIP 文件一次。
Ingress 工具传输
  • 领域: 企业
  • ID: T1105
  • 名称: Ingress 工具传输
  • 用途: Molerats使用可执行文件从不同来源下载恶意文件。
文件操作
  • 领域: 企业
  • ID: T1027.013
  • 名称: 混淆文件或信息:加密/编码文件
  • 用途: Molerats向受害者提供了 ZIP 文件中的压缩可执行文件。
网络钓鱼

  • 领域: 企业

  • ID: T1566.001

  • 名称: 网络钓鱼:鱼叉式网络钓鱼附件

  • 用途: Molerats发送了带有恶意 Microsoft Word 和 PDF 附件的网络钓鱼电子邮件。

  • ID: T1566.002

  • 名称: 网络钓鱼:鱼叉式网络钓鱼链接

  • 用途: Molerats已发送包含恶意链接的网络钓鱼电子邮件。

系统发现
  • 领域: 企业
  • ID: T1057
  • 名称: 系统发现
  • 用途: Molerats参与者获取了受害者的活动进程列表,并将其发送到 C2 服务器。
计划任务
  • 领域: 企业
  • ID: T1053.005
  • 名称: 计划任务/作业:计划任务
  • 用途: Molerats创建了计划任务来持续运行 VBScript。
代码签名
  • 领域: 企业
  • ID: T1553.002
  • 名称: 颠覆信任控制:代码签名
  • 用途: Molerats在恶意软件上使用了伪造的 Microsoft 代码签名证书。
系统二进制代理执行
  • 领域: 企业
  • ID: T1218.007
  • 名称: 系统二进制代理执行:Msiexec
  • 用途: Molerats使用 msiexec.exe 来执行 MSI 有效负载。
用户执行

  • 领域: 企业

  • ID: T1204.001

  • 名称: 用户执行:恶意链接

  • 用途: Molerats通过电子邮件发送恶意链接,诱骗用户打开 RAR 存档并运行可执行文件。

  • ID: T1204.002

  • 名称: 用户执行:恶意文件

  • 用途: Molerats通过电子邮件发送恶意文件,诱骗用户单击“启用内容”来运行嵌入式宏并下载恶意档案。

三、感染链

图1. 2021年11月至2022年1月使用的TA402感染链。
图1. 2021年11月至2022年1月使用的TA402感染链。
图 2. 2023 年 7 月活动中使用的 TA402 感染链。 图 2. 2023 年 7 月活动中使用的 TA402 感染链。

四 、样本 SHA256

IOC
NimbleMamba Sample 1 (Dec 2021 / Jan 2022) SHA256:430c12393a1714e3f5087e1338a3e3846ab62b18d816cc4916749a935f8dab44
NimbleMamba Sample 2 (Nov 2021) SHA256:c61fcd8bed15414529959e8b5484b2c559ac597143c1775b1cec7d493a40369d
Additional NimbleMamba Sample found with retro hunt (Oct 2021) SHA256:925aff03ab009c8e7935cfa389fc7a34482184cc310a8d8f88a25d9a89711e86
BrittleBush Sample SHA256:2e4671c517040cbd66a1be0f04fb8f2af7064fef2b5ee5e33d1f9d347e4c419f
David_Jou
关注
  • 23
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
APT高级持续威胁
zmj_journey的博客
07-23 1万+
APT攻击,即高级持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。 一、概念 APT的中文解释为高级持续威胁,这是一种利用先进攻击手段对特定目标进行长期持续性攻击的攻击形式,它的攻击原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。   APT攻击最大的威胁是“潜伏性和
linux找不到apt-get命令,Linux apt-get 命令 command not found apt-get 命令详解 apt-get 命令未找到 apt-get 命令安装 - Comma...
weixin_32584595的博客
04-28 6246
显示行号|选择喜欢的代码风格默认GitHubDuneLakeSidePlateauVibrantBlueEightiesTranquilapt-get 命令是 Debian Linux 发行版中的 APT 软件包管理工具apt-get 命令安装:-bash: apt-get: command not found#Debianapt-get install apt#Ubuntuapt-get ins...
APT(Advanced Persistent Threat)--------高级持续威胁
海绵汽水的博客
09-16 5921
APT(Advanced Persistent Threat)--------高级持续威胁。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行准确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,...
APT(Advanced Persistent Threat高级持续威胁)——网络安全
宝藏女孩的成长日记
05-28 3892
网络安全APT(Advanced Persistent Threat高级持续威胁)是一种复杂的网络攻击,旨在长期潜伏在目标网络中,有组织的黑客或攻击者利用高级技术手段对目标系统进行持续的渗透和监视,以获取敏感信息、窃取数据或进行其他恶意攻击活动。下面是一些关于网络安全有关APT的介绍:
Linux之apt-get:apt-get的简介、安装、使用方法之详细攻略
近期请国内外头部出版社可尽快私信博主!——心比天高,仗剑走天涯,保持热爱,奔赴向梦想!低调,谦虚,自律,反思,成长,还算是比较正能量的博主,公益免费传播……内心特别想在AI界做出一些可以推进历史进程影响力的东西(兴趣使然,有点小情怀,也有点使命感呀)…
06-18 5万+
​ Linux之apt-get:apt-get的简介、安装、使用方法之详细攻略 目录 apt-get的简介 apt-get的使用方法 apt-get的语法应用 apt-get的简介 apt-get,是一条linux命令,适用于deb包管理式的操作系统,主要用于自动从互联网的软件仓库中搜索、安装、升级、卸载软件或操作系统。apt-get命令一般需要root权限执行,所以一般跟着sudo命令。 apt-get是Debian和Ubuntu等基于Debian的Linux发
Linux中aptapt-get命令的区别与解释
热门推荐
淋曦的进击手记
04-08 6万+
Ubuntu 16.04 发布时,一个引人注目的新特性便是 apt 命令的引入。其实早在 2014 年,apt 命令就已经发布了第一个稳定版,只是直到 2016 年的 Ubuntu 16.04 系统发布时才开始引人关注。 随着 apt install package 命令的使用频率和普遍性逐步超过 apt-get install package,越来越多的其它 Linux 发行版也开始遵循 Ub...
Ubuntu 重装 apt/apt-get
blainet的博客
04-21 9414
参考链接1:https://blog.csdn.net/A_Thinking_Reed_/article/details/99709620 参考链接2:安装aptitude后apt实效 ERROR 由于各种原因,在安装 aptitude 的时候直接默认,将原来的管理软件 apt-get 直接卸载了,由于是服务器上,不是一个人用,可把我吓坏了。。。 sudo: apt: command not found sudo: apt-get: command not found 解决方法 STEP1. 卸载..
网络安全威胁——APT攻击
聚集机器学习、信息安全
10-06 3858
高级持续威胁APT,Advanced Persistent Threat),又叫高级长期威胁,是一种复杂的、持续的网络攻击,本文详细介绍了APT攻击的概念、方法和典型案例。
sudo apt-get命令详解
自己的学习笔记
07-11 1万+
转自百度apt-cache search package 搜索软件包apt-cache show package 获取包的相关信息,如说明、大小、版本等sudo apt-get install package 安装包sudo apt-get install package –reinstall 重新安装包sudo apt-get -f install 修复安装sudo apt-get re
2020全球高级持续威胁APT研究报告.pdf
12-01
2020全球高级持续威胁APT研究报告
360-2020全球高级持续威胁APT研究报告.pdf
04-13
360-2020全球高级持续威胁APT研究报告.pdf
全球高级持续威胁(APT) 2021年中报告
10-18
"全球高级持续威胁(APT) 2021年中报告" 本报告对2021年上半年的全球高级持续威胁(APT)攻击进行了分析和总结。APT攻击是指Nation-State支持的、复杂的、长期的网络攻击活动,对企业和组织的安全造成了严重威胁。...
全球高级持续威胁APT)活动_2020年报告.pdf
08-11
2020年,奇安信威胁情报中心对全球200多个主要的APT类情报来源进行了持续监测,监测内容包括但不限于APT攻击组织报告、APT攻击行动报告、疑似APT的定向攻击事件、APT攻击相关的恶意代码和漏洞分析,以及我们认为需要...
APT防御产品高级持续威胁预警系统介绍
12-30
APT防御产品高级持续威胁预警系统介绍
YARA:第十四章-基于JSON文件的威胁分析
qq_29490749的博客
07-18 977
YARA是一个用于恶意软件检测和分析的工具,它的作用主要包括以下几个方面:(1)恶意软件检测:YARA最核心的功能是检测恶意软件。用户可以编写规则来识别特定的恶意软件特征,如字符串、代码序列、数据结构等。(2)自动化威胁识别:通过预定义的规则,YARA可以自动化地识别和分类潜在的威胁,减少人工分析的需求。(3)文件分析:YARA可以扫描文件内容,识别出文件中可能包含的恶意代码或数据。(4)内存分析:YARA不仅可以分析文件,还可以分析内存中的进程,帮助检测运行中的恶意软件。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8362
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基于Python flask 的豆瓣电影top250数据评分可视化
最新发布
08-03
基于Python flask 的豆瓣电影top250数据评分可视化
基于stm32的汇川伺服电机机械臂控制程序,C语言程序,串口通信
08-03
基于stm32的汇川伺服电机机械臂控制程序,C语言程序,串口通信
赛门铁克APT防护2.0:全方位应对高级威胁与智能集成
高级威胁防护APT解决方案,如"APT防护方案介绍.pptx"文档,主要关注的是针对企业面临的高级持续威胁(Advanced Persistent Threats, APT)的防护策略。APT是一种高度定制且具有持久性的攻击,其目标通常是特定的个人...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

David_Jou

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值