Chronicle將惡意軟件樣本鏈接到伊朗的APT33小組，后者之前開發(fā)了臭名昭著的Shamoon惡意軟件。美國(guó)網(wǎng)絡(luò)司令部今天通過(guò)推特發(fā)布警告，警告濫用Outlook漏洞的威脅演員在政府網(wǎng)絡(luò)上植入惡意軟件。該漏洞是CVE-2017-11774，這是微軟在2017年10月補(bǔ)丁周二修補(bǔ)的安全漏洞。來(lái)自SensePost的安全研究人員發(fā)現(xiàn)并詳細(xì)說(shuō)明的Outlook錯(cuò)誤允許威脅行為者逃離Outlook沙箱并在底層操作系統(tǒng)上運(yùn)行惡意代碼。這個(gè)漏洞是由SensePost研究人員在2017年秋季私下報(bào)告的，但到2018年，它被伊朗國(guó)家贊助的黑客組織APT33(或Elfin)武器化，該組織主要以開發(fā)Shamoon磁盤擦除惡意軟件而聞名。當(dāng)時(shí)，在2018年12月下旬，ATP33黑客利用該漏洞在Web服務(wù)器上部署后門，后來(lái)他們將這些漏洞用于將CVE-2017-11774漏洞利用到用戶的收件箱中，因此他們可以使用惡意軟件感染他們的系統(tǒng)。

“一旦攻擊者擁有合法的憑據(jù)，他們就會(huì)識(shí)別出不受多因素身份驗(yàn)證保護(hù)的可公開訪問(wèn)的Outlook Web Access(OWA)或Office 365.攻擊者利用竊取的憑據(jù)和RULER等工具來(lái)提供[CVE-2017-11774]通過(guò)Exchange的合法功能，“FireEye報(bào)告說(shuō)。利用CVE-2017-11774漏洞的攻擊同時(shí)報(bào)道了有關(guān)臭名昭著的Shamoon磁盤擦除惡意軟件的新發(fā)現(xiàn)- 這是APT33集團(tuán)開發(fā)的另一種黑客工具。當(dāng)時(shí)沒(méi)有證明FireEye的APT33報(bào)告和Shamoon部署之間的聯(lián)系。然而，Chronicle Security研究員Brandon Levene今天在一封電子郵件中告訴ZDNet，美國(guó)網(wǎng)絡(luò)司令部上傳的惡意軟件樣本似乎與Shamoon活動(dòng)有關(guān)，該活動(dòng)發(fā)生在2017年1月左右。

Levene表示，五個(gè)惡意軟件樣本中有三個(gè)是用于操縱被利用的Web服務(wù)器的工具，而另外兩個(gè)是利用PowerShell加載PUPY RAT的下載程序 - 最有可能是受感染的系統(tǒng)。Levene告訴ZDNet，如果對(duì)CVE-2017-11774以及這些惡意軟件樣本的觀察結(jié)果是正確的，這可以說(shuō)明APT33 / Shamoon攻擊者如何能夠破壞他們的目標(biāo)。當(dāng)Shamoon攻擊過(guò)去幸福時(shí)，Levene說(shuō)，人們高度猜測(cè)涉及魚叉式網(wǎng)絡(luò)釣魚，但是除了FireEye報(bào)告之外，沒(méi)有關(guān)于初始感染載體的大量信息發(fā)表，而FireEye報(bào)告推測(cè)了感染載體，而不是而不是提供無(wú)可爭(zhēng)議的證據(jù)。

美國(guó)網(wǎng)絡(luò)司令部的Twitter帳戶不會(huì)針對(duì)以美國(guó)為目標(biāo)的有經(jīng)濟(jì)動(dòng)機(jī)的黑客機(jī)組發(fā)出警報(bào)，而只關(guān)注民族國(guó)家的對(duì)手?？偠灾绹?guó)網(wǎng)絡(luò)司令部共享的惡意軟件樣本今天將該機(jī)構(gòu)看到的新攻擊鏈接到舊的APT33惡意軟件樣本 - 最有可能部署在針對(duì)美國(guó)實(shí)體的新攻擊中。雖然美國(guó)網(wǎng)絡(luò)司令部尚未命名APT33，但賽門鐵克發(fā)布了一份關(guān)于前幾個(gè)月APT33活動(dòng)增加的警告。此外，兩周前，美國(guó)國(guó)土安全部網(wǎng)絡(luò)安全機(jī)構(gòu)CISA也發(fā)出類似警告，提醒伊朗威脅行為者增加活動(dòng)，特別是關(guān)于使用磁盤擦除惡意軟件，如Shamoon，APT33的主要網(wǎng)絡(luò)武器。

除了分析襲擊美國(guó)政府網(wǎng)絡(luò)的惡意軟件外，美國(guó)網(wǎng)絡(luò)司令部還負(fù)責(zé)進(jìn)攻性的網(wǎng)絡(luò)運(yùn)營(yíng)。兩周前，在伊朗軍方擊落昂貴的美國(guó)監(jiān)視無(wú)人機(jī)之后，國(guó)防部發(fā)起針對(duì)伊朗火箭和導(dǎo)彈系統(tǒng)的網(wǎng)絡(luò)攻擊。隨著伊朗黑客瞄準(zhǔn)政府網(wǎng)絡(luò)和美國(guó)的回?fù)?，你可以說(shuō)這兩個(gè)國(guó)家正處于一個(gè)非常沉默且非常非官方的網(wǎng)絡(luò)戰(zhàn)中。Levene還指出，這是美國(guó)網(wǎng)絡(luò)司令部首次通過(guò)其Twitter帳戶共享非俄羅斯惡意軟件。該機(jī)構(gòu)去年秋天開始在VirusTotal上發(fā)布惡意軟件樣本并發(fā)布Twitter警報(bào)，認(rèn)為這是一種更快的方式來(lái)傳播有關(guān)正在進(jìn)行的網(wǎng)絡(luò)攻擊的安全警報(bào)，并引起美國(guó)私營(yíng)部門的注意。