IndigoZebra APT黑客攻击活动的目标是阿富汗政府

网络安全研究人员警告称，作为间谍活动的一部分，一名疑似会说汉语的威胁行为人正在协调针对阿富汗政府的持续攻击，该活动可能早在2014年就已开始

以色列网络安全公司Check Point Research将入侵归因于一个名为“IndigoZebra”的黑客组织，该组织过去的活动针对其他中亚国家，包括吉尔吉斯斯坦和乌兹别克斯坦

“间谍活动背后的威胁参与者利用流行的云存储服务Dropbox渗透到阿富汗国家安全委员会（NSC），”研究人员在与《黑客新闻》分享的一篇技术文章中说，他们还补充说，“策划了一场部对部的骗局，从另一名知名受害者的邮箱向知名目标发送电子邮件。”

IndigoZebra第一次曝光是在2017年8月，当时卡巴斯基详细描述了一次秘密行动，该行动挑出了前苏联共和国，其中有大量恶意软件，如MeterMeter、Toxin Ivy RAT、xDown，以及一个以前未记录的恶意软件xCaon

Check Point对袭击的调查始于4月，当时NSC官员开始收到据称来自阿富汗总统行政办公室的引诱电子邮件

密码保护的RAR档案（“NSC Press conference.RAR”）—；被发现引发感染链，最终在目标系统上安装后门（“spools.exe”）

此外，这些攻击将恶意命令导入到受害者机器中，这些命令使用Dropbox API进行伪装，植入为攻击者控制的Dropbox帐户中的每个受损主机创建一个唯一的文件夹

这个名为“BoxCaon”的后门能够窃取存储在设备上的机密数据，运行任意命令，并将结果过滤回Dropbox文件夹。这些命令（“c.txt”）本身被放置在受害者Dropbox文件夹中名为“d”的单独子文件夹中，恶意软件在执行之前会检索到该文件夹

BoxCaon与IndigoZebra的联系源于恶意软件与xCaon的相似之处。Check Point表示，它已经确认了大约30种不同的xCaon—；最早可追溯到2014年—；所有这些都依赖HTTP协议进行指挥和控制通信

研究人员分析的遥测数据还发现，HTTP变体主要瞄准吉尔吉斯斯坦和乌兹别克斯坦的政治实体，这表明近年来随着工具集的改进，目标发生了变化

“这里值得注意的是，威胁行为者如何利用部际欺骗的策略，”Check Point威胁情报主管洛特姆·芬克尔斯汀说

“这种策略是邪恶的，能有效地让任何人为你做任何事；在这种情况下，恶意活动是在最高主权级别看到的。此外，值得注意的是，威胁参与者如何利用Dropbox来掩盖自己，使其不被发现。”