APT33：研究人员揭露与破坏性恶意软件有关的伊朗黑客组织

根据美国安全公司FireEye周三发布的最新研究，伊朗黑客组织Advanced Persistent Threat 33（简称APT33）至少自2013年以来一直以关键基础设施、能源和军事部门为目标，作为收集情报和窃取商业机密的大规模网络间谍行动的一部分。

该安全公司还表示，有证据表明，APT33代表伊朗政府工作。
FireEye的研究人员至少从2016年5月起就发现了APT33针对的网络攻击，并发现该组织已经成功地瞄准了航空行业，军事和商业，以及能源领域与石化有关联的组织。

APT33遇难者包括航空业的一家美国公司、一家拥有航空控股公司的沙特阿拉伯企业集团，以及一家从事炼油和石化业务的韩国公司。

最近，在2017年5月，APT33利用一份恶意文件，以一家沙特组织和一家韩国企业集团的员工为目标，试图用一家沙特阿拉伯石化公司的职位空缺引诱他们。

FireEye报告写道：“我们认为，针对沙特组织可能是为了深入了解该地区的竞争对手，而针对韩国公司可能是因为韩国最近与伊朗石化行业建立了伙伴关系，以及韩国与沙特石化公司的关系”
APT33通过发送带有恶意HTML链接的矛式网络钓鱼电子邮件，将恶意软件感染目标公司的计算机，从而将目标公司作为攻击目标。间谍组织使用的恶意软件包括DROPSHOT（dropper）、SHAPESHIFT（刮水器）和TURNEDUP（定制后门，这是最终的有效载荷）。

然而，在卡巴斯基之前发表的研究中，DROPSHOT被其研究人员追踪为StoneDrill，目标是欧洲的石油公司，据信是Shamoon 2恶意软件的更新版本。

“虽然我们只直接观察到APT33使用DROPSHOT传送TURNEDUP后门，但我们已经在野外发现了多个DROPSHOT样本，这些样本会导致变形，”报告写道。

SHAPESHIFT恶意软件可以擦除磁盘、擦除卷和删除文件，具体取决于其配置。

据FireEye称，APT 33去年从多个域名发送了数百封矛式钓鱼电子邮件，这些域名伪装成沙特航空公司和国际组织，包括波音公司、阿尔萨兰飞机公司和诺思罗普·格鲁曼航空阿拉伯公司。

这家安全公司还认为，APT 33与伊朗政府组织Nasr Institute有关，后者负责开展网络战行动。

7月，Trend Micro和以色列ClearSky公司的研究人员发现了另一个伊朗间谍组织，名为Rocket Kittens，自2013年以来一直活跃，目标是以色列、沙特阿拉伯、土耳其、美国、约旦和德国的组织和个人，包括外交官和研究人员。

然而，FireEye的报告没有显示这两个黑客组织之间的任何联系。有关APT33操作的更多技术细节，请访问FireEye的官方博客。