针对航空公司的“污水”攻击丨大东话安全

本文转自:中科院之声
一、小白剧场
小白:东哥 , 我最近研究APT方面的知识 , 发现各种案例都有 , 竟然还有不法分子攻击航空公司的案例 , 真是骇人听闻!
大东:你这一说 , 我倒是想起来前一阵被公布的一则安全分析报告 , 这个报告与一家亚洲航空公司相关 。
针对航空公司的“污水”攻击丨大东话安全
文章图片

文章图片

小白:难道又是哪家亚洲航空公司被攻击了吗?
大东:还没有被攻击 , 只是被分析出了潜在威胁 , 而且潜在攻击者疑似是一个伊朗APT组织 。
小白:竟然是一个APT组织 , 这下事情可闹大了!
大东:说起APT组织 , 我要考考你 , APT组织是怎么区别于其他威胁的呢?
小白:我最近可有好好学习哦 , 这难不倒我 。APT也叫做高级持续性威胁 , 表示的是隐匿且持久的电脑入侵过程 , 一般来说是某些人员针对特定的目标来精心策划进行攻击 。APT通常是因为商业或政治动机 , 针对特定的组织乃至国家 , 在长时间内保持高隐蔽性是其非常重要的特点 。
大东:嗯嗯 , 不错 , 我很是欣慰 。
小白:过奖了 , 东哥 。那这次针对亚洲航空公司的疑似APT组织是何方神圣呢?
大东:它是一个非常活跃的全球性黑客组织 , 名为ITG17 , 又称“Muddy Water” 。
小白:污水组织!这名起的真形象 , 那他对航空公司采取了哪些攻击措施呢?
二、话说事件
大东:在讲述本次航空威胁分析报告的内容之前 , 我先来介绍一下这款疑似来自伊朗的APT组织 。
小白:好的 , 东哥 , 快讲吧!
大东:“污水”(MuddyWater) APT组织从2017年开始便处于活跃状态 , 其主要是针对中东国家 。
小白:什么 , 竟然主要针对中东国家?那他们的攻击特点是怎样的呢?
大东:善于利用powershell等脚本后门是这个APT组织显著的攻击行为特点 。他们通过该在内存中执行Powershell , 减少受害者机器产生新的PE文件 。
小白:这种攻击手段有什么优势呢?
大东:这样的攻击方式一方面可以降低该APT组织的样本检测率 , 另一方面也能够加大安全机构的取证难度 。
小白:原来如此 , 那它在历史的攻击行为中 , 其攻击动机都是什么呢?主要针对中东地区 , 那应该是看中了石油资源吧?
大东:你分析得很有道理 , MuddyWater多以间谍活动的动机 。从受害者所在的行业特征看 , 政府 , 电信公司和石油公司是该组织的主要目标 。
小白:之前说他们善于利用powershell等脚本后门 , 那本次针对亚洲航空公司的潜在攻击事件是不是也利用的后门呢?
三、大话始末
大东:没错 , 根据 IBM Security X-Force的报告 , “污水”正在部署一个名为“Aclip”的后门 , 实施攻击活动 。
小白:那这次攻击活动是近期才开始的吗 , 它们的攻击目的是什么呢?
大东:这次攻击活动始于2019年 , 目标是一家亚洲航空公司 , 以窃取航班预订数据 。
小白:原来是要从订单数据上做手脚 , 仔细想想航空订单数据泄露可不是小事啊!
大东:没错 , 一旦掌握了足够的订单信息 , 就可提取某些关键人物的近期航班动向 , 进而可对其活动区域进行定点监控 , 执行某些后续攻击 。
小白:这可真是太可怕了 , 怪不得东哥对航班信息这么谨慎!
大东:仔细想想 , 近期航空数据泄露的事件确实不少 。
针对航空公司的“污水”攻击丨大东话安全