歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

Waterbug間諜組織不斷擴充其武器庫,還劫持了Oilrig黑客組織的基礎設施

來源:本站整理 作者:佚名 時間:2019-07-01 TAG: 我要投稿

Waterbug間諜組織(又名Turla),是迄今為止最為高級的威脅組織之一,與俄羅斯政府的關系密切(該組織成員均說俄語)。自2007年以來,Waterbug一直處于活躍狀態,并制造了許多轟動一時的大事件,比如2008年的Buckshot Yankee事件中攻擊了美國中央司令部。這些年被Waterbug染指的組織不計其數,包括烏克蘭、歐盟各國政府以及各國大使館、研究和教育組織以及制藥、軍工企業等。
近段時間,Waterbug仍在持續對政府和國際組織開展著行動,除了工具變得越多越全之外,另一個值得關注的地方是,他們在一場行動中劫持了Crambus(又名OilRig,APT34)間諜組織的基礎設施,可能意味著兩個組織間存在的關聯性。
三波攻擊
最近Waterbug的行動可以分為三波,對它們進行區分的方式主要是依據工具集上的不同。其中一項行動中,有一個名為Neptun、之前從未見過(Backdoor.Whisperer)的新后門。Neptun安裝在Microsoft Exchange服務器上,用于被動偵聽來自攻擊者的命令,這種被動偵聽功能使惡意軟件更難以檢測。Neptun還能夠下載其他工具,上傳被盜文件和執行shell命令。此次行動期間的一次攻擊還用到了屬于另一個名為Crambus)的間諜組織的基礎設施。
第二項行動則使用了Meterpreter,一個公開的后門,兩個自定義加載器,還有兩個自定義后門,一個名為photobased.dll,另一個則是遠程過程調用(RPC)后門。Waterbug至少從2018年初開始使用Meterpreter,并且在此行動中使用了Meterpreter的修改版本,該版本經過編碼并帶有.wav的擴展名以掩蓋其真正目的。
第三項行動使用的RPC后門與第二項行動中使用的有所差異,此后門程序使用從公共可用的PowerShellRunner工具派生的代碼來執行PowerShell腳本,而無需使用powershell.exe。此工具旨在繞過惡意PowerShell識別檢測。在執行之前,PowerShell腳本以base64編碼存儲在注冊表中。這樣做可能是為了避免將它們寫入文件系統。

圖1. Waterbug組織在三波攻擊中使用的工具集
工具集
可以看出,Waterbug進化速度很快,最近的行動涉及到對大量新工具的使用,包括自定義惡意軟件,公開可用的黑客工具的修改版本以及合法的管理工具,還用到了PowerShell腳本和PsExec(一種用于在其他系統上執行進程的Microsoft Sysinternals工具)。
除了上面提到的工具之外,Waterbug還部署了:
· 一種新的自定義dropper,通常用于將Neptun作為服務安裝。
· 一個自定義黑客工具,它將方程式組織(Equation Group)泄露的四個工具(EternalBlue,EternalRomance,DoublePulsar,SMBTouch)組合成一個可執行文件。
· 一個USB數據收集工具,用于檢查連接的USB驅動器并竊取某些特定類型的文件,并將其加密為RAR文件,然后使用WebDAV上傳到Box云端硬盤。
· 多個Visual Basic腳本,在初始感染后執行系統偵察,并將信息發送回Waterbug命令和控制服務器。
· 多個PowerShell腳本,用于從Windows Credential Manager處執行系統偵察和憑據竊取的工作,然后將信息發送回C&C。
· 還有多個公開可用的工具,如IntelliAdmin用于執行RPC命令,SScan和NBTScan用于網絡偵察,PsExec用于執行和橫向移動,Mimikatz(Hacktool.Mimikatz)用于憑證盜竊,Certutil.exe用于下載和解碼遠程文件。
攻擊目標
除了以IT和教育部門為目標之外,最近這三波Waterbug行動已經對全球范圍政府和國際組織造成了嚴重破壞。自2018年初以來,Waterbug已經攻擊了10個不同國家的13個組織,包括:
· 拉美國家的外交部
· 中東國家外交部
· 歐洲國家的外交部
· 南亞國家內政部
· 中東國家的兩個身份不明的政府組織
· 東南亞國家的一個身份不明的政府組織
· 位于另一個國家的某南亞國家的政府辦公室
· 中東國家的信息和通信技術組織
· 兩個歐洲國家的兩個信息和通信技術組織
· 南亞國家的信息和通信技術組織
· 中東國家的跨國組織
· 南亞國家的教育機構
劫持基礎設施
在Waterbug最近的一起行動中,發生了一件有趣的事。此次行動是對中東的一個目標進行攻擊,Waterbug似乎劫持了Crambus間諜組織的基礎設施并用它將惡意軟件傳送到受害者的網絡。此次事件將Crambus和Waterbug與不同的民族國家聯系起來。雖然這兩個組織可能已經合作,但賽門鐵克表示沒有發現任何進一步證據能支持這一點。Waterbug使用Crambus基礎設施更像是一種惡意劫持,但奇怪的是,Waterbug還使用自己的基礎設施對受害者網絡上的其他計算機進行破壞。
此次攻擊中,Mimikatz的定制版本從Crambus的基礎設施下載到了受害者網絡的計算機上,下載過程是通過Powruner工具和Poison Frog控制面板進行的。多方都曾認為此基礎設施和Powruner工具與Crambus密不可分。最近在與Crambus有關的泄露文件中也提到了這兩點。
賽門鐵克認為,這次襲擊中使用的Mimikatz變種是Waterbug獨有的。它經過了大量修改,除了sekurlsa :: logonpasswords憑證竊取功能外,幾乎所有原始代碼都刪除了。Waterbug經常對公開的工具進行大量修改,而Crambus則不是。
Mimikatz的變種由一個自定義程序進行封裝,該封裝程序以前沒有在其它惡意軟件中見到過,Mimikatz的第二個定制變體和用于Neuron服務(Trojan.Cadanif)的dropper中都用到了該封裝器。它在dropper中的使用使我們得出結論,這種定制封裝器是Waterbug獨家使用的。此外,這個版本的Mimikatz是使用Visual Studio和公共可用的bzip2庫編譯的,并非唯一,之前的其他Waterbug工具已經使用過它。
除了涉及Crambus基礎設施的攻擊之外,這個Mimikatz樣本僅被用于2017年針對英國教育目標的另一次攻擊。當時,Mimikatz被一個已知的Waterbug工具所取代。
在襲擊中東目標的案件中,Crambus是第一個侵入受害者網絡的群體,最早的活動證據可以追溯到2017年11月。2018年1月11日,第一次出現了Waterbug活動的證據,當時Waterbug關聯工具(名為msfgi.exe的任務調度程序)被植入到受害者網絡上的計算機上。第二天,即1月12日,前面提到的Mimikatz變種從一個已知的Crambus C&C服務器下載到同一臺計算機上。受害者網絡上的另外兩臺計算機在1月12日被Waterbug工具攻陷,但沒有證據表明在這些攻擊中使用了Crambus基礎設施。雖然其中一臺計算機之前曾被Crambus攻擊過,但另一臺計算機沒有出現Crambus入侵的跡象。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 刷票赚钱软件是真的吗 德语培训老师赚钱多吗 贵州茅台股票走势 博士期间能赚钱吗 跟我干包你赚钱吗 股票涨跌的原因 梦幻西游打115宝宝装备赚钱 微信十里茶园赚钱游戏 500彩票网股票指数 文房四宝店铺赚钱吗 女的不想工作了 只想多赚钱 股票融资与债券融资 现在的旋转火锅赚钱吗 军工领域赚钱么 怎么炒股详细步骤 梦幻西游l3赚不赚钱