APT-C-49（OilRig）以伊朗最新社会热点事件为诱饵的多阶段钓鱼攻击活动分析

APT-C-49  OilRig
APT-C-49（OilRig）又称APT34、Helix Kitten等，是一个与伊朗情报机构关联的高级持续性威胁（APT）组织，其攻击活动于2016年首次公开披露。该组织主要针对中东地区、美国、欧洲及亚洲部分国家，攻击目标涵盖政府、金融、能源、电信及化工等数十个关键行业，以窃取敏感的政治决策、地缘战略及军事能源领域的机密信息为主要目的。


一、概述
近期，360高级威胁研究院在APT威胁狩猎中发现该组织以伊朗全国热点性抗议事件为相关诱饵的多个攻击样本，这些样本以excel文件为入口，通过编译释放的C#源码生成恶意加载器。该加载器依次访问GitHub仓库获取配置数据、解析指向Google Drive的图片链接，并运用LSB隐写技术从图像中提取加密配置信息，最终解密后续模块下载链接，实现多阶段载荷动态加载与Telegram Bot通道的加密C2通信，形成高度隐蔽的云滥用+隐写+内存执行攻击链。
二、攻击活动分析1.攻击流程分析
OilRig组织近期以伊朗全国性抗议事件为相关主题的钓鱼攻击中，投放了高度隐蔽的Excel宏文档，这些样本利用社会热点事件（如“德黑兰xx名单、最终名单_德黑兰xx.xlsm”等）伪装诱饵，诱导目标启用宏后触发多阶段感染链：首先通过VBA宏从CustomXMLParts解码出C#源代码，现场调用csc.exe编译成恶意加载器；该加载器启动后访问硬编码的GitHub仓库，从中读取经编码的配置数据，解析得到Google Drive共享链接；链接指向一张看似普通的图片，但内部采用LSB（最低有效位）隐写技术嵌入加密配置；加载器提取并解密配置后，获取多个后续模块的下载地址，逐一下载并动态加载窃密、命令执行等功能模块，最终通过Telegram Bot API建立加密C2通道，实现命令控制、数据窃取与回传。流程如下所示：































































三、归属研判
通过对本次攻击事件的详细分析，综合初始载荷的执行入口设计、关键技战术要素及完整攻击链条特征判断，该样本在整体作战思路与工程实现层面与APT34历史活动高度一致，具体表现如下：

1. 初始载荷和APT34以往样本的技战术保持极高一致性[1]，都以Excel的工作簿事件作为主要入口点，并且都涉及sheet操作（以往样本是可见性切换来实现反沙箱/诱导启用宏，本次样本升级为针对特定字符的内容损坏/恢复机制，可能用于迷惑用户以便动态编译payload）。此外，更重要的是攻击链条高度统一：VBA宏+Base64解码（从UserForm或CustomXMLParts提取）+写入.exe+同名.config配置文件+XML定义的定时任务（schtasks或Schedule.Service）+.NET载荷执行。该链条在组件拆分方式、数据承载位置选择以及持久化实现路径上均与APT34历史样本保持一致，呈现出明显的家族化与工程化特征。

2. 该组织近年来不断通过滥用合法云平台来掩盖其恶意流量，本次使用谷歌云盘下发数据和使用Telegram作为C2通信也与该组织以往技战术符合。

3. 无论是前期测试代码还是本次实际的攻击代码均存在波斯语的注释，说明攻击者以波斯语为母语，符合攻击者身份。

综上所述，将本次攻击归属到APT-C-49（OilRig）组织。
总结

APT-C-49（OilRig）近年来持续对其攻击链进行演进与升级，整体呈现出对抗能力增强与执行方式现代化的趋势。该组织由早期依赖 Excel宏触发的Saitama loader，逐步演进为结合宏混淆重构、云服务滥用与隐写技术的多阶段攻击链，并在后续阶段明显向无文件与内存执行模式转型。通过利用 Google Drive、GitHub、Telegram 等合法平台进行配置分发与C2通信，OilRig有效降低了静态与行为检测暴露面，体现出其针对 EDR 与云环境监测的持续适应能力。
此外本文披露的样本只是该组织攻击过程中使用的部分载荷，通过对样本进行的深入分析，希望帮助用户了解此类攻击链条及防范手段。同时也提醒用户提高安全意识，在日常工作中谨慎处理未知压缩包、邮件附件和超链接，避免因轻信而在毫无防护的情况下遭受入侵，造成敏感信息和重要数据的泄露。   
   
附录 IOCMD5
717da2804144e9759c4e6409f18b7b4b

07aa715f8a6f56a96476aae0ebca17c7

d0d17a50422e3d4a0a50fed0878a47d6

ca002f49f3d5ee36ded21e235e8d04e7

9c0409be11a6c4433896db58e7095464

参考
https://www.threatdown.com/blog/apt34-targets-jordan-government-using-new-saitama-backdoor/