IndigoZebra APT 黑客活动针对阿富汗政府

网络安全研究人员警告称，一名疑似讲中文的威胁行为者正在协调针对阿富汗政府的持续攻击，作为间谍活动的一部分，该活动的起源可能可以追溯到 2014 年。

以色列网络安全公司 Check Point Research 将入侵归因于一个名为“IndigoZebra”的黑客组织，过去的活动针对其他中亚国家，包括吉尔吉斯斯坦和乌兹别克斯坦。

“威胁者利用Dropbox的，流行的云存储服务，渗透到阿富汗国家安全委员会（NSC）的间谍背后，”研究人员在技术上说，写了与黑客新闻共享，将他们“精心策划的一个部- 对部门风格的欺骗，将电子邮件从另一个知名受害者的邮箱发送到知名目标。”

IndigoZebra 于 2017 年 8 月首次曝光，当时卡巴斯基详细介绍了一项秘密行动，该行动利用大量恶意软件（如Meterpreter、Poison Ivy RAT、xDown 和以前未记录的恶意软件 xCaon）挑出前苏联共和国。

Check Point 对袭击事件的调查于 4 月开始，当时 NSC 官员开始收到据称来自阿富汗总统行政办公室的诱饵电子邮件。

虽然该消息敦促收件人查看与即将举行的 NSC 新闻发布会相关的附件中的修改，但发现打开诱饵文件 – 受密码保护的 RAR 存档（“NSC 新闻发布会.rar”）会触发感染链最终在目标系统上安装了一个后门（“spools.exe”）。

此外，攻击将恶意命令输送到使用 Dropbox API 伪装的受害者机器中，植入物为攻击者控制的 Dropbox 帐户中的每个受感染主机创建一个唯一的文件夹。

这个被称为“BoxCaon”的后门能够窃取存储在设备上的机密数据，运行任意命令，并将结果提取回 Dropbox 文件夹。命令（“c.txt”）本身被放置在受害者的 Dropbox 文件夹中名为“d”的单独子文件夹中，恶意软件在执行之前会检索该子文件夹。

BoxCaon 与 IndigoZebra 的联系源于恶意软件与 xCaon 的相似之处。Check Point 表示，它确定了大约 30 个不同的 xCaon 样本——最早可以追溯到 2014 年——所有这些样本都依赖于 HTTP 协议进行命令和控制通信。

研究人员分析的遥测数据还发现，HTTP 变体主要将目光投向位于吉尔吉斯斯坦和乌兹别克斯坦的政治实体，这表明近年来随着工具集的改进，目标发生了转变。

Check Point 威胁情报负责人 Lotem Finkelsteen 说：“这里值得注意的是，威胁行为者如何利用部际欺骗的策略。”

“这种策略在让任何人为你做任何事情方面都是恶毒而有效的；在这种情况下，恶意活动被视为最高主权级别。此外，值得注意的是，威胁行为者如何利用 Dropbox 来掩饰自己不被发现。”