伊朗 APT 组织 OilRig 传播具有合法数字签名的恶意软件

安全公司 ClearSky 发现伊朗 APT 组织 OilRig 自 2015 年以来一直针对以色列、中东和其他国家。在最近的攻击中，他们建立了一个假的 VPN 门户网站并传播具有合法数字签名的恶意软件，攻击目标涉及多个以色列 IT 供应商、金融机构和邮局。

ClearSky 的安全专家发现，伊朗黑客建立了一个假的 Juniper Networks VPN 网站，并使用来自 IT 供应商的电子邮件帐户发送邮件来诱骗受害者。恶意电子邮件中的链接指向该虚假网站，并要求用户输入用户名和密码，之后会要求受害者安装“ VPN 客户端”，该 Juniper VPN 软件中捆绑了恶意软件 Helminth 。

值得注意的是整个软件包（ VPN 客户端和恶意软件）使用了赛门铁克颁发给 AI Squared（一个开发辅助功能软件的合法软件公司）的有效代码签名证书进行数字签名。

此外黑客还注册了四个属于牛津大学的域名（ oxford-symposia[.]com、oxford-careers[.]com、 oxford[.]in 、 oxford-employee[.]com )当受害者访问假冒的牛津大学招聘网站时，网站会提示需要在发送简历邮件之前下载一个预先注册工具（恶意软件），该恶意工具也使用 AI Squared 的证书签名。

研究员意外发现 OilRig APT 组织使用的 C＆C 服务器 IP 地址 83.142.230.138 与 Chafer 黑客组织使用的是一样的。这意味着 Chafer 和 Oilrig 是同一个伊朗 APT 组织。

from hackernews.cc.thanks for it.