美国财政部制裁45名APT39黑客,他们针对美国旅行社攻击

根据安全公司FireEye的说法,APT39至少从2014年11月就开始活跃,该组织的USP正在盗窃个人信息,“以支持为伊朗国家优先事项服务的监视,跟踪或监视操作,或者可能创建其他访问和媒介以促进未来的活动。”

由国家支持的黑客组织的业务领域主要是中东和美国,并且主要针对电信和旅游行业的组织和个人。该组织利用SEAWEED和CACHEMONEY后门以及POWBAT后门的变体从目标实体窃取数据而闻名。

根据美国司法部的说法,APT39与伊朗情报和安全部(MOIS)有关联,后者使该组织有责任针对伊朗本国公民,伊朗邻国的政府网络以及美国旅行服务公司。该黑客组织还以Chafer,Remexi,Cadelspy和ITG07等名称而闻名,并使用名为Rana Intelligence Computing Company的前端公司来维持其活动。

周四,美国财政部外国资产控制办公室(OFAC)对不少于45名APT39成员实施了金融制裁,这些成员据称使用了长达数年的恶意软件攻击活动,以针对伊朗持不同政见者,记者和旅游业的国际公司为目标。

“这45名指定人员在Rana任职期间曾担任过各种职务,其中包括经理,程序员和黑客专家。这些人员为针对国际企业,机构,航空公司和其他目标网络的持续MOIS网络入侵提供了支持MOIS认为是威胁,” OFAC在新闻稿中说。

他补充说,APT39所针对的实体名单包括来自亚洲,非洲,欧洲和北美30多个不同国家的数百个人和实体,其中包括15家主要在旅游领域的美国公司。

APT39代表MOIS,经常针对,监测和伤害伊朗的持不同政见者,记者,前政府雇员,环保主义者,难民,大学生和教职员工以及国际非政府组织的雇员。该小组还对伊朗的私营部门公司和伊朗的学术机构,包括国内和国际波斯语言和文化中心,进行了监视并以数字为目标。

“伊朗的MOIS通过其前线公司Rana招募了受过高等教育的人,并将其网络才能转化为利用,骚扰和压制其同胞以及其他被视为对该政权构成威胁的人的工具。我们很荣幸能与美国财政部的合作伙伴一起呼吁采取这些行动,”联邦调查局局长克里斯托弗·雷说。

他补充说:“今天宣布的制裁令,这45个人不仅要从美国数十个网络窃取数据,而且还要从伊朗邻国和世界各地的网络窃取数据。”

本周四,FBI还发布了归因于APT39和伊朗情报与安全部的危害指标,组织中的安全专业人员可以参考该指标来保护其组织免受针对性的网络攻击。

在该文档中,FBI详细介绍了APT39使用恶意视觉基本脚本(VBS)恶意软件通过cmd.exe在受害计算机上执行命令,使用嵌入在Microsoft Office文档中的几种恶意AutoIt恶意脚本以及使用BITS的方法。 1.0版恶意软件安装了两个可执行文件,这些文件一起工作以聚集受害者数据,使用XOR密钥作为种子对其进行加密,并使用ZipPass密钥对数据进行压缩以对文件进行密码保护。

在美国法院起诉三名伊朗黑客,他们代表伊朗伊斯兰革命卫队(IRGC)窃取了几家美国卫星公司的敏感商业数据,知识产权和个人数据后,宣布了对与APT39相关的45名黑客的制裁,指定的外国恐怖组织。

赛义德·普卡里姆·阿拉比,穆罕默德·雷扎·埃斯帕加姆和穆罕默德·巴亚提这三名黑客都是伊朗公民,并开展了黑客活动,以支持该国的伊斯兰革命卫队(IRGC)。黑客使用鱼叉式钓鱼策略诱使卫星公司的员工点击将恶意软件安装到其设备中的恶意链接。

“通过这些方法,被告成功地破坏了多个受害者网络,导致盗窃了包括卫星跟踪公司和卫星语音与数据通信公司在内的受害者公司的敏感商业信息,知识产权和个人数据。”

推荐阅读