• 發布單位:TWCERT/CC
• 更新日期:2019-03-23
• 點閱次數:839

伊朗的APT組織CopyKittens 正進行大型網路間諜活動，運用五類惡意工具，循魚叉式釣魚或水坑式手法進行散播。

1.以色列網路情報公司ClearSky和趨勢科技專家進行的一項聯合調查發現，伊朗的APT組織CopyKittens  （又名Rocket Kittens）正在進行一個名為“Operation Wilted Tulip”的大規模的網路間諜活動，受影響國家包含以色列，沙特阿拉伯，土耳其，美國，約旦和德國。
2.這份調查報告中包括“Operation Wilted Tulip”行動的細節，並描述了Rocket Kittens APT集團採用的TTPs（技術，戰術和程序）。
3.CopyKittens所使用的幾種自主研發的惡意軟體和駭客工具，迄今尚未公開報導，透過報告分析大概可以區分下列幾種：
（1）後門程式：TDTESS。
（2）側向運動工具：Vminst。
（3）Cobalt Strike下載器：NetSrv。
（4）檔案壓縮控制程式：ZPP。
（5）遠端存取木馬程式（ RAT）：Matryoshka v1、Matryoshka v2。
4.根據報告分析，駭客通常針對目標系統採用魚叉式釣魚郵件或是水坑式攻擊，他們透過攻擊新聞媒體網站或一般的網站來傳散惡意軟體，目前已知有「耶路撒冷郵報」、「馬里夫新聞網」及「IDF殘疾退伍軍人組織」等網站遭受攻擊。
5.這份報告也詳列了CopyKittens常用的一些攻擊手法，包括有水坑式攻擊、惡意文件、社交工程及網頁攻擊等，駭客會同時運用多種的工具及惡意軟體達到攻擊目標的目的。
6. TWCERT/CC 建議來路不明的電子郵件，請勿隨意開啟，作業系統必保持最新更新修補狀態，並針對網路環境加強防護措施，以免遭駭客利用，用戶可參考附件之報告Indicators of Compromise章節進行必要的安全設定。

參考連結：

http://www.clearskysec.com/wp-content/uploads/2017/07/Operation_Wilted_Tulip.pdf
http://securityaffairs.co/wordpress/61363/apt/copykittens-operation-wilted-tulip.html
https://pbs.twimg.com/media/DGODXhlUMAAcwLx.jpg