Arid Viper 利用 Micropsia 针对巴勒斯坦发起攻击

思科近日揭露了 Arid Viper APT 组织的攻击活动，该组织被认为与加沙地区存在利益关联，针对巴勒斯坦发起攻击。

据悉， Arid Viper 也被称为是 APT-C-23 或者沙漠猎鹰和双尾蝎，该黑客组织于 2015 年首次被安全机构追踪并曝光。

该组织将巴勒斯坦的个人和组织作为攻击目标，专门从事间谍活动和信息窃取，是一个与政治内容有关的黑客组织。

该组织自 2017 年以来经常使用 Delphi 恶意样本进行网络攻击，并在2021年10月的攻击中使用 Micropsia 恶意软件。

而在近期，Arid Viper 组织将最初发布于土耳其国营通讯社 Anadolu 和巴勒斯坦 MAAN 发展中心的内容作为其诱饵。

该组织依旧利用基于 Delphi 开发的 Micropsia 恶意软件，使用诱饵，针对巴勒斯坦的机构发起攻击，窃取各种情报。

他们在2019年的攻击活动中，使用声称是2018年年度报告，但实际内容却是2014年和2015年的公开资料作为诱饵。

据悉，这些内容绝大部分与政治有关，他们将这些内容编译为阿拉伯语言，然后将诱饵通过电子邮件进行样本投放。

安全人员对恶意样本分析后发现其样本仍采用基于 Micropsia，并在表单中设置了执行不同恶意行为的计时器按钮。

表单界面上分布的四个计时器分别执行不同的恶意行为，比如收集操作系统信息、软件列表、杀软名称等各种信息。

这些计时器各司其职收集不同数据，将这些收集到的信息进行统一编码，通过 HTTP POST 请求发送到C&C服务器。

分析 Arid Viper 从 2017 年到 2021 年发起的持续性攻击，可以发现该组织攻击行为并不高明、至今不曾大幅度更新。

当然，他们的攻击技术倒也在不断更新，如其开发的 Micropsia 恶意软件已拥有Delphi、Python 和 安卓等不同版本。

他们的攻击路数似乎至今都没有得到提升却行之有效，比如拿着老旧的政治时讯作为诱饵，却总有目标掉入陷阱中。

此外，鉴于一直针对巴勒斯坦的机构和个人发起攻击，因此被安全人员视为是有政治目的或受政治引导的黑客组织。

当然话说回来，这种针对特定对象展开的持续有效的 APT 攻击本身具有超强的隐蔽性和针对性，确实很难进行防御。

毕竟 APT 中通常运用社会工程学、供应链和各种受感染的介质，没有人能拍着胸脯说自己能在这种攻击下轻易逃脱。