俄羅斯黑客組織圖拉對伊朗發動攻擊
作者:星期五, 六月 28, 20190

18個月的網絡戰爭以快速發展的工具包為特點

政府有關威脅組織在攻擊中東政府基礎設施時遭到一些不太友好的攻擊,開始了一場網絡混戰。

賽門鐵克 (Symantec) 的研究人員認為在 2018 年,一個說俄語的黑客組織劫持了他們的伊朗競爭對手 Crambus (又名OilRig) 的基礎設施。

在這次攻擊中,黑客組織 Waterbug (又名Turla) 向 Crambus 控制的計算機上投放了惡意軟件。這個惡意軟件正在與已知的 Waterbug C&C 服務器進行通信。賽門鐵克認為這次獨特事件的脈絡是,Crambus 首先入侵并控制了一個尚未具名中東政府的部分計算機基礎設施。

嗅到能夠加強網絡能力并干擾對手的機會,黑客組織 Waterbug 將名為 msfgi.exe 的任務調度程序投放到了 Crambus 網絡中的計算機上。第二天,他們通過 Mimikatz 在網絡中橫向移動。

Mimikatz 黑客工具在 2018 年初被部署到 Crambus 的網絡上。賽門鐵克研究人員在報告中指出:

Mimikatz是通過Powruner工具和Poison Frog控制面板被下載的。很多供應商都公開將基礎設施和Powruner工具與Crambus聯系在一起。

攻擊中使用的特殊 Mimikatz 變體實際上將其與 Waterbug 組織聯系在一起,因為除了 sekurlsa::logonpassword 憑證竊取功能之外,他們通過重寫幾乎修改了所有原始代碼。

俄羅斯網絡黑客組織WaterBug以往活動

如果這是一個威脅集團試圖攻占另一個集團的基礎設施,那么這標志著一個有趣的戰術升級,也標志著俄羅斯黑客組織 Waterbug 的日益成熟。

自 2018 年初以來,Waterbug 已經與針對 10 個不同國家組織的一系列攻擊聯系在一起。這些目標包括橫跨三大洲的外交部、中東的一個 ICT 組織以及南亞的一個教育機構。

跟蹤這些襲擊的研究人員注意到,該組織正在變得越來越成熟,全年都在部署新的武器。這些新工具包括一個自定義的黑客工具,它將之前泄露的四種黑客工具——EternalBlue, EternalRomance, DoublePulsar 和 SMBTouch 合并到一個可執行文件中。

他們還使用 visual basic 腳本,這些腳本可以進行信息偵查,從而將數據發送到被控制的服務器上。

賽門鐵克指出,可以看出 PowerShell 攻擊仍然很流行。

PowerShell 腳本在 Windows 憑證管理器上進行信息偵察和憑據盜竊,然后將這些信息發送給 Waterbug C&C。

越界攻擊的動機

目前還不清楚這兩個國家黑客組織之間究竟發生了什么。賽門鐵克發現,隨著一個名為 IntelliAdmin 的合法系統管理工具突然出現在 Crambus 的網絡中,整個事情變得有些混亂。它似乎是通過 Waterbug 后門被投放到沒有被 Crambus 入侵的電腦上。

一些人認為,這是一個虛假行動,目的是混淆視聽,讓研究人員和網絡防御組織失手。

賽門鐵克提出的一種解釋是 Waterbug 準備攻擊中東政府系統,但經過偵察發現 Crambus 已經開始了類似的攻擊,所以控制 Crambus 的網絡更加容易,同時也能為他們提供訪問政府系統的權限。

盡管賽門鐵克還有很多沒有回答的問題,但他們指出:

Waterbug 不斷進化的工具包顯示出一個團隊的高度適應性,決心通過領先目標一步避免被發現。頻繁的裝備更新和對虛假戰術的偏好使得該組織成為有目標攻擊領域中最具威脅的對手之一。

相關閱讀

 

俄羅斯間諜黑客組織圖拉劫持通信衛星鏈路盜取數據

 


相關文章

寫一條評論

 

 

0條評論