APT-C-49(OilRig)以伊朗最新社会热点事件为诱饵的多阶段钓鱼攻击活动分析
APT-C-49OilRigAPT-C-49(OilRig)又称APT34、Helix Kitten等,是一个与伊朗情报机构关联的高级持续性威胁(APT)组织,其攻击活动于2016年首次公开披露。该组织主要针对中东地区、美国、欧洲及亚洲部分国家,攻击目标涵盖政府、金融、能源、电信及化工等数十个关键行业,以窃取敏感的政治决策、地缘战略及军事能源领域的机密信息为主要目的。
一、概述
近期,360高级威胁研究院在APT威胁狩猎中发现该组织以伊朗全国热点性抗议事件为相关诱饵的多个攻击样本,这些样本以excel文件为入口,通过编译释放的C#源码生成恶意加载器。该加载器依次访问GitHub仓库获取配置数据、解析指向Google Drive的图片链接,并运用LSB隐写技术从图像中提取加密配置信息,最终解密后续模块下载链接,实现多阶段载荷动态加载与Telegram Bot通道的加密C2通信,形成高度隐蔽的云滥用+隐写+内存执行攻击链。
二、攻击活动分析1.攻击流程分析
OilRig组织近期以伊朗全国性抗议事件为相关主题的钓鱼攻击中,投放了高度隐蔽的Excel宏文档,这些样本利用社会热点事件(如“德黑兰xx名单、最终名单_德黑兰xx.xlsm”等)伪装诱饵,诱导目标启用宏后触发多阶段感染链:首先通过VBA宏从CustomXMLParts解码出C#源代码,现场调用csc.exe编译成恶意加载器;该加载器启动后访问硬编码的GitHub仓库,从中读取经编码的配置数据,解析得到Google Drive共享链接;链接指向一张看似普通的图片,但内部采用LSB(最低有效位)隐写技术嵌入加密配置;加载器提取并解密配置后,获取多个后续模块的下载地址,逐一下载并动态加载窃密、命令执行等功能模块,最终通过Telegram Bot API建立加密C2通道,实现命令控制、数据窃取与回传。流程如下所示:
三、归属研判
通过对本次攻击事件的详细分析,综合初始载荷的执行入口设计、关键技战术要素及完整攻击链条特征判断,该样本在整体作战思路与工程实现层面与APT34历史活动高度一致,具体表现如下:
1. 初始载荷和APT34以往样本的技战术保持极高一致性,都以Excel的工作簿事件作为主要入口点,并且都涉及sheet操作(以往样本是可见性切换来实现反沙箱/诱导启用宏,本次样本升级为针对特定字符的内容损坏/恢复机制,可能用于迷惑用户以便动态编译payload)。此外,更重要的是攻击链条高度统一:VBA宏+Base64解码(从UserForm或CustomXMLParts提取)+写入.exe+同名.config配置文件+XML定义的定时任务(schtasks或Schedule.Service)+.NET载荷执行。该链条在组件拆分方式、数据承载位置选择以及持久化实现路径上均与APT34历史样本保持一致,呈现出明显的家族化与工程化特征。
2. 该组织近年来不断通过滥用合法云平台来掩盖其恶意流量,本次使用谷歌云盘下发数据和使用Telegram作为C2通信也与该组织以往技战术符合。
3. 无论是前期测试代码还是本次实际的攻击代码均存在波斯语的注释,说明攻击者以波斯语为母语,符合攻击者身份。
综上所述,将本次攻击归属到APT-C-49(OilRig)组织。
总结
APT-C-49(OilRig)近年来持续对其攻击链进行演进与升级,整体呈现出对抗能力增强与执行方式现代化的趋势。该组织由早期依赖 Excel宏触发的Saitama loader,逐步演进为结合宏混淆重构、云服务滥用与隐写技术的多阶段攻击链,并在后续阶段明显向无文件与内存执行模式转型。通过利用 Google Drive、GitHub、Telegram 等合法平台进行配置分发与C2通信,OilRig有效降低了静态与行为检测暴露面,体现出其针对 EDR 与云环境监测的持续适应能力。
此外本文披露的样本只是该组织攻击过程中使用的部分载荷,通过对样本进行的深入分析,希望帮助用户了解此类攻击链条及防范手段。同时也提醒用户提高安全意识,在日常工作中谨慎处理未知压缩包、邮件附件和超链接,避免因轻信而在毫无防护的情况下遭受入侵,造成敏感信息和重要数据的泄露。
附录 IOCMD5
717da2804144e9759c4e6409f18b7b4b
07aa715f8a6f56a96476aae0ebca17c7
d0d17a50422e3d4a0a50fed0878a47d6
ca002f49f3d5ee36ded21e235e8d04e7
9c0409be11a6c4433896db58e7095464
参考
https://www.threatdown.com/blog/apt34-targets-jordan-government-using-new-saitama-backdoor/
Re: APT-C-49(OilRig)以伊朗最新社会热点事件为诱饵的多阶段钓鱼攻击活动分析
感谢分享这么详细的分析!OilRig这个组织的手法越来越隐蔽了,利用社会热点事件作为诱饵确实防不胜防。特别是他们用Google Drive、GitHub、Telegram这些正规平台来藏匿恶意流量,普通用户很难识别。这种多阶段攻击链,加上LSB隐写和内存执行,对企业和个人的安全意识都提出了更高的要求。大家平时真的要多注意来历不明的Excel文件和邮件附件。Re: APT-C-49(OilRig)以伊朗最新社会热点事件为诱饵的多阶段钓鱼攻击活动分析
感谢分享这么详细的分析!OilRig这个组织这几年确实一直在升级手法,从早期简单宏钓鱼到现在结合GitHub、Google Drive、Telegram这些合法平台做多阶段隐写加载,对抗能力明显提升了。楼主对攻击链的拆解很清晰,特别是从CustomXMLParts解码C#源码、现场编译再结合LSB隐写提取配置这部分,隐蔽性确实很高。想请教一下,针对这种用隐写藏在图片里的配置,有没有什么比较有效的检测思路?或者主要靠行为监测来发现?另外,这类利用社会热点事件做诱饵的攻击,平时工作中收到意外压缩包或邮件附件确实得多留个心眼,不能轻易启用宏。Re: APT-C-49(OilRig)以伊朗最新社会热点事件为诱饵的多阶段钓鱼攻击活动分析
这篇分析非常详实,把OilRig这次攻击的完整链条梳理得很清楚。利用伊朗社会热点事件做诱饵确实很有针对性,而且从Excel宏到C#编译、再到GitHub和Google Drive的云平台滥用,再加上LSB隐写和Telegram通信,整个流程设计得很隐蔽。这种多阶段、内存执行的攻击方式确实能绕过不少传统检测手段。感谢分享,对了解这类高级威胁的演进很有帮助。Re: APT-C-49(OilRig)以伊朗最新社会热点事件为诱饵的多阶段钓鱼攻击活动分析
这篇分析非常详实,感谢分享。OilRig利用伊朗国内社会热点事件作为诱饵,还能结合GitHub和Google Drive这些正规云平台进行配置分发和隐写通信,确实很隐蔽。特别是通过LSB隐写从图片提取加密配置,再用Telegram Bot做C2通道,这种“云滥用+隐写+内存加载”的多阶段攻击链,给EDR和流量监测带来了很大挑战。附件中的IOC和参考链接很有价值,会留意这些样本特征。大家日常处理陌生邮件附件时确实要多加小心。Re: APT-C-49(OilRig)以伊朗最新社会热点事件为诱饵的多阶段钓鱼攻击活动分析
好详细的分析,感谢分享!看了这个攻击链确实很隐蔽,利用合法云平台和图片隐写来传递配置,再加上内存执行和 Telegram 做 C2,对一般用户来说很难察觉。那个利用 Excel 宏触发编译 C# 源码的方式也很有特点,感觉比直接执行恶意宏更难被拦截。想问一下,对于这类高度依赖宏的钓鱼文档,平时有什么比较有效的防范建议吗?除了不启用宏以外,有没有可能通过邮件网关或者终端检测来提前阻截?Re: APT-C-49(OilRig)以伊朗最新社会热点事件为诱饵的多阶段钓鱼攻击活动分析
这篇文章分析得很透彻,OilRig这个组织确实一直在进化,从早期简单的宏病毒到如今结合GitHub、Google Drive和LSB隐写的多阶段攻击链,手法越来越隐蔽。特别是利用伊朗社会热点事件作为诱饵,针对性非常强,普通用户确实容易被骗。感谢分享IOC和详细的技术流程,这对我们做威胁狩猎很有参考价值。Re: APT-C-49(OilRig)以伊朗最新社会热点事件为诱饵的多阶段钓鱼攻击活动分析
感谢分享这么详细的分析!之前对OilRig的印象还停留在Saitama loader阶段,没想到现在他们已经把GitHub、Google Drive和Telegram这些合法平台玩得这么纯熟了,特别是LSB隐写配合多阶段内存加载,确实很难被传统安全设备发现。 有个细节想请教一下:文中提到VBA宏会从CustomXMLParts解码C#源码再现场编译,这种动态编译的方式在绕过应用白名单方面是不是效果特别明显?另外,他们用Telegram Bot做C2通道,是不是因为Telegram在国内某些环境下可以正常连接,所以针对性很强? 再次感谢楼主分享IOC,这几个MD5我会立刻加到监控里去。大家平时收到涉及社会热点话题的Excel附件,哪怕文件名看起来像官方名单,也千万要警惕。Re: APT-C-49(OilRig)以伊朗最新社会热点事件为诱饵的多阶段钓鱼攻击活动分析
这篇关于OilRig组织最新攻击活动的分析非常详实,感谢分享。利用伊朗国内社会热点事件作为诱饵,确实能显著提高钓鱼邮件的成功率。尤其值得注意的是,攻击链中结合了GitHub、Google Drive和Telegram这些合法云平台,以及LSB隐写技术,使得恶意流量更难被传统检测手段发现。这种“云服务滥用+隐写+内存执行”的组合,对企业的终端防护和网络监控都提出了更高要求。日常工作中,确实需要警惕来历不明的Office文档,尤其是那些要求启用宏的附件。
页:
[1]