近日以色列安全公司ClearSky發(fā)現(xiàn)了一個活躍的APT攻擊組織Gaza Cybergang，下面就隨著筆者來了解一下吧！

[[167316]]

釣魚攻擊是關(guān)鍵

該組織在2012年首次被發(fā)現(xiàn)，他們改進(jìn)并開發(fā)了一些定制的惡意軟件比如DownExecute,、XtremeRAT、 MoleRAT以及 DustSky (NeD Worm)。而該組織最近一次行動Operation DustSky是在2016年初進(jìn)行的，其攻擊目標(biāo)主要是以色列、埃及、沙特阿拉伯以及伊拉克，方法是一般是魚叉式網(wǎng)絡(luò)釣魚活動，還有使用.NET環(huán)境下的惡意軟件程序DustSky進(jìn)行網(wǎng)絡(luò)攻擊。

該安全公司在發(fā)布有關(guān)DustSky的第一篇報告之后， Gaza Cybergang就停止了一切活動。而停止活動的時間并不是很長，在2016年4月又開始對以色列一些新目標(biāo)進(jìn)行攻擊。當(dāng)然在這段時間里，其組織也在利用c++語言重寫編寫惡意軟件來提高病毒程序感染能力，甚至為了躲避安全公司的檢測，組織還轉(zhuǎn)移了目標(biāo)——由以色列轉(zhuǎn)向美國。

該組織主要集中150多個不同的目標(biāo)進(jìn)行攻擊，其中有3/5的釣魚郵件重要集中在私人的電子郵件地址 (Gmail、Yahoo、Hotmail)。而這里要說明的一點(diǎn)就是惡意軟件DustySky( 可以被看做是一個鍵盤記錄器 )，它最后出現(xiàn)是由c++語言編寫的。

欺騙安全公司

Gaza Cybergang前期的“套路”還是利用惡意釣魚郵件。郵件內(nèi)容主要是用希伯來語、阿拉伯語還有英語，當(dāng)然郵件中還有一個壓縮文件(RAR或ZIP)，內(nèi)含一個外部鏈接，甚至?xí)霈F(xiàn) .exe可執(zhí)行文件，有時還會以微軟Word文檔、視頻文件等形式出現(xiàn)。而在研究中還發(fā)現(xiàn)了宏病毒，啟用宏功能之后，目標(biāo)計算機(jī)就會感染惡意軟件，而攻擊者也會社工并誘導(dǎo)用戶打開它。攻擊者往往還會用到一些遠(yuǎn)程工具，比如Poison ivy、Nano Core、 XtremeRAT、 DarkComet 以及Spy-Net。

攻擊者往往選擇的目標(biāo)是金融機(jī)構(gòu)、航空航天和國防工業(yè)等。下面就是一些例子。

接下來惡意軟件開始查找計算機(jī)中文件，篩選關(guān)鍵字文件，如下

攻擊者正在通過一切方式繞過基于代碼的傳統(tǒng)安全方案(如防病毒軟件、防火墻、IPS等)，例如C&C服務(wù)器(mafy.2waky[.]com)就是偽造和 radaronline.com一樣的網(wǎng)站，迷惑用戶

在2015年十二月，有三個病毒樣本被發(fā)到 malwr.com 以及 Virus Total平臺，樣本是一個word文檔，還有最后提交的日期是一樣的，用戶名moayy2ad@hotmail.com

后來上網(wǎng)搜索用戶名，找到了下面這些信息(網(wǎng)上已經(jīng)不存在了)

安全研究人員列舉案例Operation DustySky之后，收到了一封電子郵件，但他們很快就認(rèn)為這不是官方的郵件idf.cyber@gmail.com