ChaferAPT組織隸屬於伊朗，自2014年以來一直處於活躍狀態，專注於網絡間諜活動。 Bitdefender發現該組織2018年開始針對中東關鍵基礎設施進行攻擊，攻擊中使用了多種工具、定製後門等。

攻擊主要針對航空運輸和政府部門，攻擊者多在週末進行攻擊。在針對科威特的攻擊中，攻擊者創建了自己的用戶帳戶，針對沙特的攻擊主要依靠社會工程學，兩種攻擊的最終目標都是竊取數據。

攻擊鏈分析

科威特

最初發現了一些反向TCP文件和PowerShell命令，攻擊者可能使用惡意文檔攻擊受害者，並利用魚叉式電子郵件進行傳播。攻擊者會在目標上使用偵察工具進行網絡掃描（“ xnet.exe”，“ shareo.exe”）和憑證收集（如“ mnl.exe”或“ mimi32.exe”）或其他功能工具，例如CrackMapExec（用於用戶枚舉，共享列表，憑據收集等）。這些工具可幫助攻擊者在網絡內部橫向移動。

攻擊者使用psexec或使用RDP協議進行遠程服務安裝，一旦攻擊成功便開始安裝自定義模塊：經過修改的Plink（wehsvc.exe）以及後門（ imjpuexa.exe）。攻擊者會在受害者的計算機上創建用戶，並使用該用戶在網絡內部執行惡意操作。

大多數活動發生在週五和週六，與中東的週末相吻合。 觀察到以下順序：在其中一臺機器上部署修改後的PuTTY工具（“ wehsvc.exe”）； 四天後在同一系統上創建一個特定用戶； 除了上述工具外，在該用戶下還發現了rdpwinst（rdp會話管理），Smartftp Password Decryptor（安裝程序）和 Navicat Premium等。

攻擊者通過代理工具（“ mfevtpse.exe”和“ mini.exe”）或後門與受害者保持通信，其中一次攻擊時間線如下所示。

沙特阿拉伯攻擊鏈

攻擊者最初是通過社會工程學攻擊目標。RAT組件位於％Download％文件夾中，RAT執行了兩次，兩次執行相隔三分鐘，使用不同的名稱（“ drivers.exe”和“ drivers_x64.exe”）。使用“ etblscanner.exe”進行內部網絡偵察。另外還發現了三種不同的RAT組件，其中一個組件“ snmp.exe”也以“ imjpuexa.exe”出現在科威特的某些受害者身上，攻擊時間線如下：

工具分析

攻擊者使用“the Non-Sucking”服務管理器來確保其關鍵組件（例如代理或RAT）已啓動運行。 他們還使用Sysinternals工具（例如psexec）在受害者網絡中橫向移動，使用“ schtasks.exe”確保持久性，“ tasklist”用於測試持久性，“ nslookup”用於DNS通信，查詢TXT記錄。

發現了不同階段使用的黑客工具，如Mimikatz、SafetyKatz或定製工具。利用所獲得的憑據與psexec工具獲取對特定計算機的訪問權。 一些受感染的系統還包含Metasploit框架的shellcode片段，例如reverse_tcp，連接到不同的內部IP地址。另一個工具CrackMapExec，具有網絡掃描等功能；發現PLINK修改版本，它可以作爲Windows服務運行或卸載；發現了一個用C++編寫的命令行工具，可作爲代理使用。

在攻擊過程中還觀察到Python（可能是3.4版）編寫的RAT。該工具具有兩種通信類型（“ DNS”和“ HTTP”），工具的文件名是“ snmp.exe”，“ imjpuexa.exe”和“ driver_x86.exe”，硬編碼的標頭可如下：

HTTP通信請求標頭“ GET / owa HTTP / 1.1 \ r \ nHost：live.com”和響應標頭“ HTTP / 1.1 200 OK”。

此攻擊中使用的另一個命令行工具“ xnet.exe”，它與nbtscan工具非常相似，可從計算機上網絡適配器獲取要掃描的IP範圍。 還觀察到C#工具（“shareo.exe”），該工具可獲得指定IP範圍內每臺計算機的NetBIOS名稱。

發現名爲“ mas.dll”的後門，此文件與“xnet.exe”之間存在聯繫：

“F:\Projects\94-06\RCE\bin\Release\x64\mas.pdb” – “mas.dll”
“F:\Projects\94-08\XNet\bin\Release\Win32\XNet.pdb”) – “xnet.exe”

MITRE matrix TTPs

持久化

T1050 “New Service”:

“wehsvc.exe” 創建 “imjpuexa.exe” 修改註冊表 “HKLM\system\controlset001\services\microsoft updating\parameters\application”

T1053 “Scheduled Task”:

“MSCService.exe” 、“DBXService.exe”

T1136 “Create Account”:

創建用戶

內網探測

T1016 “System Network Configuration Discovery”:

“xnet.exe”

C&C

T1090 “Connection Proxy”:

“mini.exe”、“mfevtpse.exe”、“mfevtps.exe”以及修改的Plink

防禦檢測

T1045 “Software packing”

“mfevtpse.exe”

T1036 “Masquerading”

“DBXService.exe”、 “MSCService.exe”

命令執行

T1059 “Command line interface”

憑證訪問

T1003 “Credential Dumping”

Mimikatz

附錄