自2020年7月以来，我们发现针对中东石油和天然气行业多个供应链相关组织的针对性攻击有所增加。 我们发现了以电子邮件附件形式发送的恶意PDF文件的多个实例，并发现被用来向这些组织分发窃取信息的木马文件AZORult。

在此博客中，我们描述了此活动的详细信息，解释了攻击媒介，恶意软件分发策略和威胁归因。

0x01 分发策略

攻击链始于一封电子邮件，该电子邮件似乎来自于ADNOC的一名官员，并且针对的是供应链和中东政府部门的官员。

此攻击活动系列中的每封电子邮件都有一个附件PDF文件。该PDF的首页上包含下载链接，这些链接可通往合法的文件共享站点，例如wetransfer和mega.nz(在其中托管ZIP存档)。ZIP文件包含一个打包的恶意.NET可执行文件，它将解密，加载和执行AZORult木马文件。图1显示了攻击流程。

攻击者还利用了来自Tutanota的匿名电子邮件服务来创建在keemail.me和tuta.io中注册的电子邮件，这些电子邮件活动中也使用了这些电子邮件。

电子邮件附带的PDF文件是多页文件(共14页)，似乎是与ADNOC和多哈机场有关的各种项目的供应合同和法律招标的报价请求(RFQ)。诱饵文件经过精心设计，社工目的非常明显。每个文档的第一页包含使用嵌入式下载链接访问规格和图纸的说明，这些链接会导致下载恶意ZIP文档，如上面的攻击流程所述。

PDF中内容的一些示例包括：

PDF文件名： PI-18031 Dalma Gas Development Project(Package B)-TENDER BULLETIN-01.pdf

MD5哈希： e368837a6cc3f6ec5dfae9a71203f2e2