本文转自：中科院之声一、小白剧场小白：东哥|针对航空公司的“污水”攻击丨大东话安全本文转自：中科院之声

本文转自：中科院之声
一、小白剧场
小白：东哥，我最近研究APT方面的知识，发现各种案例都有，竟然还有不法分子攻击航空公司的案例，真是骇人听闻！
大东：你这一说，我倒是想起来前一阵被公布的一则安全分析报告，这个报告与一家亚洲航空公司相关。

文章图片
小白：难道又是哪家亚洲航空公司被攻击了吗？
大东：还没有被攻击，只是被分析出了潜在威胁，而且潜在攻击者疑似是一个伊朗APT组织。
小白：竟然是一个APT组织，这下事情可闹大了！
大东：说起APT组织，我要考考你， APT组织是怎么区别于其他威胁的呢？
小白：我最近可有好好学习哦，这难不倒我。 APT也叫做高级持续性威胁，表示的是隐匿且持久的电脑入侵过程，一般来说是某些人员针对特定的目标来精心策划进行攻击。 APT通常是因为商业或政治动机，针对特定的组织乃至国家，在长时间内保持高隐蔽性是其非常重要的特点。
大东：嗯嗯，不错，我很是欣慰。
小白：过奖了，东哥。那这次针对亚洲航空公司的疑似APT组织是何方神圣呢？
大东：它是一个非常活跃的全球性黑客组织，名为ITG17 ，又称“MuddyWater” 。
小白：污水组织！这名起的真形象，那他对航空公司采取了哪些攻击措施呢？
二、话说事件
大东：在讲述本次航空威胁分析报告的内容之前，我先来介绍一下这款疑似来自伊朗的APT组织。
小白：好的，东哥，快讲吧！
大东：“污水”（MuddyWater）APT组织从2017年开始便处于活跃状态，其主要是针对中东国家。
小白：什么，竟然主要针对中东国家？那他们的攻击特点是怎样的呢？
大东：善于利用powershell等脚本后门是这个APT组织显著的攻击行为特点。他们通过该在内存中执行Powershell ，减少受害者机器产生新的PE文件。
小白：这种攻击手段有什么优势呢？
大东：这样的攻击方式一方面可以降低该APT组织的样本检测率，另一方面也能够加大安全机构的取证难度。
小白：原来如此，那它在历史的攻击行为中，其攻击动机都是什么呢？主要针对中东地区，那应该是看中了石油资源吧？
大东：你分析得很有道理， MuddyWater多以间谍活动的动机。从受害者所在的行业特征看，政府，电信公司和石油公司是该组织的主要目标。
小白：之前说他们善于利用powershell等脚本后门，那本次针对亚洲航空公司的潜在攻击事件是不是也利用的后门呢？
三、大话始末
大东：没错，根据IBMSecurityX-Force的报告， “污水”正在部署一个名为“Aclip”的后门，实施攻击活动。
小白：那这次攻击活动是近期才开始的吗，它们的攻击目的是什么呢？
大东：这次攻击活动始于2019年，目标是一家亚洲航空公司，以窃取航班预订数据。
小白：原来是要从订单数据上做手脚，仔细想想航空订单数据泄露可不是小事啊！
大东：没错，一旦掌握了足够的订单信息，就可提取某些关键人物的近期航班动向，进而可对其活动区域进行定点监控，执行某些后续攻击。
小白：这可真是太可怕了，怪不得东哥对航班信息这么谨慎！
大东：仔细想想，近期航空数据泄露的事件确实不少。

文章图片
航空公司数据泄露（图片来自网络）