APT33追踪思路

APT33组织主要针对石油和航空业，这个组织使用了大约十二个命令与控制服务器(C&C)针对性的对目标攻击。APT33也一直在做定点针对性攻击。比如近两年来，该组织利用一位欧洲高级政治人物（该国国防委员会的成员）的私人网站向鱼产品供应链中的公司发送鱼叉式网络钓鱼电子邮件。目标包括一个供水设施，是提供美军其中一个军事基地饮用水的供水设施。

发件人信息

发件人的地址和日期、钓鱼邮件类型

日期	发件人地址	主题
12/31/16	recruitment@alsalam.aero	Job Opportunity
4/17/17	recruitment@alsalam.aero	Vacancy Announcement
7/17/17	careers@ngaaksa.com	Job Openning
9/11/17	jobs@ngaaksa.ga	Job Opportunity
11/20/17	jobs@dyn-intl.ga	Job Openning
11/28/17	jobs@dyn-intl.ga	Job Openning
2003/5/18	jobs@mail.dyn-corp.ga	Job Openning
2007/2/18	careers@sipchem.ga	Job Opportunity SIPCHEM
7/30/18	jobs@sipchem.ga	Job Openning
8/14/18	jobs@sipchem.ga	Job Openning
8/26/18	careers@aramcojobs.ga	Latest Vacancy
8/28/18	careers@aramcojobs.ga	Latest Vacancy
9/25/18	careers@aramcojobs.ga	AramCo Jobs
10/22/18	jobs@samref.ga	Job Openning at SAMREF

表1： APT33的鱼叉式网络钓鱼活动。来源：趋势科技的云安全智能防护网络

前两个电子邮件地址（以.com和.aero结尾）是伪造的邮件地址。但是以.ga结尾的地址来自攻击者自己的基础设施。这些地址都冒充了知名的航空、石油和天然气公司。

旧的C&C域名信息

APT33的C&C通常托管在云托管代理中。然后APT33通过私有VPN网络连接到这些C&C服务器向bot发出命令并且从bot收集数据。每一个C&C最多只有十二个受害者。

下表列出了一些仍在使用的旧C&C域名。

域	创建日期
suncocity.com	16/5/31
zandelshop.com	16/6/1
simsoshop.com	6/2/16
zeverco.com	16/6/5
qualitweb.com	16/6/6
service-explorer.com	3/3/17
service-norton.com	3/6/17
service-eset.com	3/6/17
service-essential.com	3/7/17
update-symantec.com	17-3-12

表2：APT33 C＆C域

网络架构

图1.APT33使用的多个混淆层模式

攻击者在管理C＆C服务器和进行侦察时经常使用商业VPN服务来隐藏自己。但是除了使用任何用户都可以使用的VPN服务之外，我们还定期看到攻击者使用自己建立的专用VPN网络。

通过从世界各地的服务器数据中心租用几台服务器并使用OpenVPN之类的开源软件建立专用VPN。尽管来自私人VPN网络的连接仍然来自世界各地看似无关的IP地址，但这种流量实际上更容易跟踪。一旦我们知道某个主要攻击参与者正在使用出口节点，就可以对出口节点IP地址建立的连接做追踪。例如，除了从私有VPN出口节点管理C＆C服务器之外，参与者还可能在侦查受攻击者的目标网络。

VPN出口节点

在下表中列出了已知的关联IP地址。时间范围是保守统计出来的；IP地址可能已经使用了较长时间。

IP地址	初见	最后一次活跃
5.135.120.57	18/12/4	19/1/24
5.135.199.25	19/3/3	19/3/3
31.7.62.48	18-9 / 26	18-9 / 29
51.77.11.46	19年7月1日	19年7月2日
54.36.73.108	19年7月22日	19/10/05
54.37.48.172	19/10/22	19/11/05
54.38.124.150	10/28/18	11/17/18
88.150.221.107	19/26/19	19/11/07
91.134.203.59	18-9 / 26	18/12/4
109.169.89.103	18/12/2	12/14/18
109.200.24.114	18/11/19	18/12/25
137.74.80.220	18-9 / 29	18-10-23
137.74.157.84	12/18/18	19/10/21
185.122.56.232	18-9 / 29	11/4/18
185.125.204.57	18/10/25	1/14/19
185.175.138.173	1/19/19	19/1/22
188.165.119.138	10/8/18	18/11/19
193.70.71.112	19/3/7	19/3/17
195.154.41.72	19-1-13	19/1/20
213.32.113.159	19/6/30	19/16/19
216.244.93.137	18/12/10	18/12/21

表3.APT33专用VPN出口节点关联出来的的IP地址

专用VPN出口节点似乎也用于侦查与石油工业供应链相关的网络。表3中的某些IP地址是在中东的一家石油勘探公司和军事医院以及美国的一家石油公司的网络上进行侦察的。

图2. APT33对专用VPN网络的使用

APT33使用其专用VPN网络访问渗透测试公司的网站，Webmail，有关漏洞的网站以及与加密货币有关的网站、还有阅读黑客博客和论坛。

IOCs

文档名称	SHA256	检测名称
MsdUpdate.exe	e954ff741baebb173ba45fbcfdea7499d00d8cfa2933b69f6cc0970b294f9ffd	Trojan.Win32.NYMERIA.MLR
MsdUpdate.exe	b58a2ef01af65d32ca4ba555bd72931dc68728e6d96d8808afca029b4c75d31e	Trojan.Win32.SCAR.AB
MsdUpdate.exe	a67461a0c14fc1528ad83b9bd874f53b7616cfed99656442fb4d9cdd7d09e449	木马Win32.SCAR.AC
MsdUpdate.exe	c303454efb21c0bf0df6fb6c2a14e401efeb57c1c574f63cdae74ef74a3b01f2	Trojan.Win32.NYMERIA.MLW

参考

https://blog.trendmicro.com/trendlabs-security-intelligence/more-than-a-dozen-obfuscated-apt33-botnets-used-for-extreme-narrow-targeting/