Operation Saffron Rose
Ajax Security Team(以下简称AST)的一个代号是"Cair3x",但是"Cair3x"到底是谁未可知。在ICT(International Institute for Counter-Terrorism )2013年发布的“Cyber-Terrorism Activities Report”报告中称,是"Cair3x"是一个人,真实的名字是Ali Ali Pur。分析认为AST是一个组织性很强的团体,和其他很多黑客组织类似,更像公司化运作。AST的另一个名字是Flying Kitten(飞猫)。
如果"Cair3x"是一个人,那么长什么样子?没有答案。不过,CrowdStrike给出了一张照片,这张截图来自一个ID为“keyvan ajaxtm ”在Facebook上的截图:
笔者做了一点小搜索,发现AST几年前(不晚于09年)就比较活跃。当时AST主要是篡改一些伊朗国内和以色列网站的主页。下面是一个AST在2012年篡改以色列网站列表:
诡异的是AST在2013年底到2014年初突然销声匿迹。直到最近的重出水面,并演变成为专门针对大辽国军工企业发起APT攻击的组织。
AST发起的APT攻击手段很大程度上依靠钓鱼邮件发起鱼叉式定向攻击。如下:
这个来自“aeroconf2014[.]org”的邀请邮件就是用来钓鱼的。如果接收邮件的人点击邮件中的链接,就会访问一个伪造的页面:
上面的页面是伪造某国际组织的网站。网站会提醒你下载一个代理软件。你下了就中招了。恶意软件如何提权和控制主机请大家阅读FireEye的报告,这里不再赘述。
谈到这里,安全人员提出了一个十分有意思的、同时也是“情理之中”的发现:AST的攻击行为和两年前被披露的大宋朝某黑客组织的攻击行为颇有类似之处。专家发现AST在针对大辽国航空军事工业机构攻击时,其钓鱼并上传提权木马的鱼叉式邮件攻击的一个重要伪装是打着Institute of Electrical and Electronics Engineers (IEEE) Aerospace Conference(IEEE航空大会)的幌子——钓鱼邮件的域名是“aeroconf2014[.]org”(上文已提到)。据称宋朝某黑客组织也曾用过类似的手段,当时宋朝黑客采用的钓鱼邮件域名是“aeroconf2013[.]org”。
我不太明白宋朝黑客组织和AST到底有什么关系。好像看了很多文章也没有说两者存在什么可能的联系。FireEye报告里提到了宋朝黑客攻击的演进史。大概的结论就是,伊朗黑客组织和宋朝黑客组织有着相类似的演进过程。这真是一个很诡异的逻辑,就算类似,又能说明什么呢?我看,是已经形成定式的思维使得每谈到APT定向攻击,必然拉上宋朝。
关于AST的故事暂时告一段落,不知道接下来AST会有什么惊人的举动。会成为下一个SEA或者QCF?或是再次销声匿迹?让我们拭目以待吧。
由抗D系统发起的DDoS攻击
Incapsula公司(美国一家知名云安全服务提供商)在上周称,中国和加拿大的两家抗DDoS服务商系统被黑客用来发起面向Incapsula用户的DDoS攻击。据Incapsula称,来自中国和加拿大的两家抗D服务商系统的DDoS攻击是DNS Flood,请求流量达到25Mpps,总攻击(DNS requests)达到630亿次,攻击持续7小时。
按照Incapsula的分析,攻击者并没有采用反射放大,直接打的DNS request。如此一来,应该是发起攻击的系统被控制了,然后发起的请求洪水。
和大家一样,我很想知道这两家抗D服务商到底是谁?可是搜遍了,也没找到答案。
其他
有的朋友通过某些渠道反馈并建议,每期回顾增加更多的事件,侧重大家都关心的重大事件。
我的回答是:
第一,热点事件大家可以通过各种渠道获得相关资讯,这些热点反而不是我最大的关注;
第二,由于时间和精力所限,每期也只能重点分析和挖掘一、两个事件。这已经是不易的事情(以本期为例,虽然只是一个AST,但是需要参考的网页/报告近20个)。对于其他有趣儿的事儿,欢迎分享,我们可以一起讨论,大家可以一起挖。最后,就是参考链接的问题,已经不止一个同学向我要链接。我只能说每期的回顾不是写论文,很多参考链接不便公开发出来。如果真的需要,可以私下联系。当然,能不能访问,访问后会不会中木马,那就完全是您自己的事情了。
