近日，美伊关系持续紧张。美国国土安全部认为伊朗拥有强大的网络攻击能力，可以和可能对美国实施网络攻击，至少有能力对美国的关键基础设施发起具有暂时的破坏性的攻击。本文就可能与伊朗有关的黑客组织进行初步分析。

OilRig

OilRig是一个伊朗黑客组织，主要攻击目标为中东地区的不同行业，该组织也会攻击中东地区外的组织。OilRig常常会发起供应链攻击，利用组织之间的信任关系来攻击其目标。该组织使用Mimikatz和laZagne这样的开源管理工具和常见的系统管理工具，如PsExec, CertUtil, Netstat, SystemInfo, ipconfig和tasklist。Bonupdater, Helminth, Quadangent和PowRuner是过去几年出现的与OilRig相关的恶意软件。OilRig TTP如下图所示：

OilRig TTP

从图中可以看出，OilRig主要关注隐藏技术而非使用一些先进技术来实现访问。而且没有使用0 day和高级漏洞利用。其实OilRig并不需要高级的漏洞利用技术，因为它只是一个进入受害者基础设施的简单方法。比如，通过凭证泄露、社会工程工具集、针对性钓鱼等。

MuddyWater

MuddyWater是一个主要攻击中东国家的伊朗黑客组织，同时也会攻击欧洲和北美国家。该组织的主要攻击目标是电信企业、政府机构（IT服务）、石油行业。当前还没有与MuddyWater (‘Muddy’)相关的恶意软件，但目前只有Powerstats与该组织相关。该黑客组织喜欢使用开源工具来发起攻击活动。

MuddyWater TTP

一旦进入受害者机器，Muddy就会寻找本地凭证，然后使用这样的凭证来登陆网络/域控制器。MuddyWater一般会对整个目标网络花费数月去做侦察，但是访问过程是静默和混淆的。同样地，该组织也无需高级的利用技术，而只需要一些IT只是就可以在网络隔离和代理/NAT之间活动。

APT33

APT33是从2013年开始活动的伊朗黑客组织。该组织的攻击目标是美国、沙特阿拉伯、韩国等地的导航、能源等多个行业。分析其TTP研究人员发现与MuddyWater的TTP非常类似。对比Muddy TTP图和APT 33 TTP图就会发现其共享了许多工具和技术，比如Powerstats (Muddy)和Powertron (APT33)就共享了一些函数和一小段代码。与MuddyWatter相比，研究人员对APT33了解地更多一些，根据TTP的相似性研究人员猜测APT 33可能是主要的攻击者，而MuddyWater可能只是APT33攻击者的特定小组或特定行动。

APT33 TTP

APT33在攻击活动中使用了shamoon、stoneDrill这样的恶意软件，表现出了巨大的破坏性。而Muddy主要是对受害者植入后门。

CopyKittens

CopyKittens是伊朗的网络监控组织，从2013年开始活跃。攻击目标是以色列、沙特阿拉伯、土耳其、美国、苏丹和德国。该组织负责的活动包括Operation Wilted Tulip。CopyKittens与之前的攻击者有所不同，他使用了自动漏洞利用系统CobaltStrike。使用Cobalt和Empire可以让攻击者自动进行下一步活动。与前面的黑客组织最大的不同在于，CopyKittens在被攻击的网络中会比较燥，因此使用一些自动化的工具就可以进行检测。

CopyKittens TTP

还有一个特征就是使用代码签名技术。在OilRig, MuddyWater 和 APT33中，研究人员看到很多的脚本能力，而在CopyKittens中，研究人员看到了很多的高级代码能力。事实上，代码签名是在Windows和IOS系统中使用的，以确保软件来自已知的开发者，而且不会被恶意修改。而脚本是开发者使用的，是属于开发者独有的特征和技能。这个差异表明在CopyKittens中可能会有一个由不同的人员组成的小组参与。

Cleaver

Cleaver是一个归属于伊朗的黑客组织，主要攻击活动包括Operation Cleaver。有证据表明Cleaver与Threat Group 2889 (TG-2889)有关。但是研究人员对该组织的了解较少。该组织使用的工具Mimikatz很容易被用于凭证复制，而TinyZBot主要用于监控，而没有强健的架构设计、代码执行和数据窃取能力。

Cleaver TTP

Cleaver黑客组织自2012年开始活跃，主要攻击目标是加拿大、中国、英国、法国、德国、印度、以色列、科威特、墨西哥、巴基斯坦、卡塔尔、沙特阿拉伯、韩国、土耳其、阿拉伯联合酋长国和美国。OpCleaver报告中称，Cleaver的开发人员是最先进的黑客组织之一。

黑客组织比较

事实上，这些黑客组织都是有联系的，比如共享TTP。OilRig和APT33是与伊朗相关的最有名的黑客组织，但其作用不同、代码基础也不同。CopyKittens聚簇分析发现与APT33很接近，但Muddywater看起来与介于这两者中间。进一步分析其使用的恶意软件，研究人员认为Muddy与APT33更加接近。

研究人员也看到两种不同的代码风格。第一种主要是使用脚本，比如python、autoIT，这些黑客可能是从IT人员转型过来的。第二种是有开发经验的人员，主要包括Java、.NET和C++。MuddyWater 和APT33就使用了脚本引擎、Powershell、Empire框架等等。而OilRig, Cleaver和 CopyKitten的开发团队看起来比较有软件开发能力，主要关注于秘密行动。

总结

本文对于伊朗相关的黑客组织进行了初步分析，包括OilRig, APT33, MuddyWater, Cleaver等。介绍了每个黑客组织和其TTP，并对黑客组织之间的关系和区别进行了分析。