APT檔案之:記錄APT28 和 APT30的公開披露

2021-02-25 MottoIN

免責聲明:本文中所描述的內容,是基於公開信息統計整理而成,所記錄的技術僅用於教育目的,並不適用於指導如何使用APT攻擊工具重現給定的攻擊場景。這篇來源於「真實世界素材」的文章重點總結了APT攻擊的「TTPs」(Tactics戰略, Techniques技術和 Procedures程序),作者並沒有試圖將任何國家或個人歸因於某個特定的APT組織。

APT28 概述

APT28進入大眾的視野始於 Fireeye發布的一份有關俄羅斯網絡空間威脅的專項研究報告(《APT 28: A Window into Russia’s CyberEspionageOperations?》),報告中指出 APT 28黑客組織至少在2007年就已經開始活躍了,APT28 黑客組織擁有一個熟練的開發團隊,專門收集有關國防和地緣政治問題相關的情報,這些情報只對政府有用,組織成員工作的時間與俄羅斯幾個主要城市(如莫斯科、聖彼得堡等)的時區一致,惡意軟體樣本使用俄語進行設置,APT28組織發起的間諜活動的目標包括喬治亞、東歐各國政府和軍隊以及歐洲各國的安全組織。依據一系列的證據,Fireeye推斷該組織與俄羅斯政府有關。

最近已知的、與APT28相關的活動包括:針對德國聯邦議院和法國的世界TV5電視臺的網絡攻擊(2015年);美國民主黨全國委員會(DNC)的網絡入侵(2016年6月),這些事件與APT28/29的關聯性由不同的安全公司和獨立的研究人員分析得出(詳情參見文章末尾的「相關資料」部分),因此 APT28 組織有多個不同的名稱,也被稱為「Sofacy」、 「Fancy Bear」,、「Sednit」、「Pawn Storm」、「TsarTeam」 和「Strontium」。

通過觀察APT28 組織在網絡攻擊活動中使用的戰略,可以作為評估其攻擊的動機的依據。該組織由於對與俄羅斯有關的、秘密的地緣政治感興趣而聞名,他們的目標包括政府、航空航天、國防、能源和媒體部門。值得注意的是該組織不會滲漏貨出售攻擊目標的財務信息(包括智慧財產權等),相反的,它使用高超的戰術監視目標的一舉一動,並努力保持自身的隱蔽性,這是一種非常有效的策略,通過長時間的跟蹤、觀測對手的動作,威脅者能夠對目標的習慣、例程河秘密瞭然於胸,獲得更有價值的洞察能力。APT28組織具備卓越的設備用於偵探和間諜活動,能夠收集目標的戰略狀態信息,這些信息可以用來影響政治決策、公眾輿論或地緣政治問題。

本文研究的重點是與APT28組織相關的最有趣的或被充分報導過的內容。並不能詳盡這個組織使用過的所有TTPs,何況,在我們看不見的角落,它依然在不停的運作中。

惡意軟體組件

APT28 能夠針對不同作業系統發起攻擊,包括Microsoft Windows、Linux 和 Apple iOS,同時也能夠USB設備感染目標的隔離網絡。針對windows系統的工具大多是後門和信息竊取,包括記錄鍵盤、竊取系統信息並將收集到信息傳送到遠程 C&C 伺服器。成功利用某一個攻擊向量入侵目標後,一個downloader (SOURFACE)被寫進磁碟,主要目的是與C&C伺服器進行通信,並獲得第二階段的後門程序。

另一個後門程序,在FireEye報告中被描述為 「 CHOPSTICK」,能夠從受感染的主機上收集到各類詳細信息,包括Microsoft Windows作業系統版本、CPU架構、Windows防火牆的狀態、用戶帳號控制(UAC)的配置和IE設置。 「 CHOPSTICK」後門程序的一個變種包括了一個能夠收集Microsoft Office文檔和 PGP文件的模塊。此外,該後門程序還能夠檢測某款特定安全產品和應用程式的安裝情況。除了收集主機的信息之外,後門程序還可以通過桌面截圖、記錄鍵盤點擊和見識活動的應用程式窗口來記錄受感染主機上的用戶活動。根據FireEye的報導,「 CHOPSTICK」後門程序採用模塊化開發框架,因此根據編譯時模塊的不同,這類後門程序可能還包含不同的功能。

另一個後門程序(「EVILTOSS」)通過downloader進行下發和交付,它能夠訪問受感染主機的文件系統和註冊表、枚舉網絡資源、創建進程、記錄鍵盤點擊、讀取存儲的憑據和執行Shellcode。此外,該後門程序使用 RSA密鑰進行了加密處理,以阻止對它的調查工作。最後,研究人員懷疑這個後門的一個變種在2004年就已經被觀測到了,這表明APT28組織的活動可能已經超過10年了。

技術矩陣

APT28惡意軟體的能力,如下圖所示:

APT30 概述

APT30組織也是由FireEye公開披露的一個隱藏了10+年的網絡間諜組織,報告中提到通過分析其所使用的惡意軟體的元數據和用戶界面,確認 APT30 組織是使用中文的。已確定的該組織的攻擊目標包括印度、韓國、馬來西亞、越南、泰國、沙烏地阿拉伯和美國地區的各類公司和組織,除此之外,其他的一些國家和地區,如新加坡,緬甸,日本等,也被懷疑是 APT30 組織的目標。

從已公開的信息可知,APT30組織維護著一套相關的攻擊工具,有自己的攻擊目標和策略,從2005年就開始活躍,持續時間長達10多年,尤其擅長進行長期的網絡攻擊活動。此外,從APT30組織使用的攻擊工具可以看出其組織的層次相當嚴格,有統一的發展規劃和活動調配,這些都顯示了該組織背後有更高層利害關係方的支持。

APT30組織還與另外一個名為Naikon的黑客團體有關聯,儘管有證據顯示他們似乎來源於同一個國家,但尚未有充足的資料能夠證明二者之間存在確切的關聯。本文的研究者依然專注於 APT30組織相關的嚴格指標的研究。

惡意軟體組件

APT30 組織所用的惡意軟體的主要目標是Microsoft Windows作業系統,核心工具中包括兩個後門程序:BACKSPACE 和 NETEAGLE。這些後門程序一般通過魚叉式網絡釣魚攻擊中附件的方式,直接或間接地進行交付。除了後門程序之外,還有一些被用於感染隔離網絡的組件,如 SHIPSHAPE, SPACESHIP 和 FLASHFLOOD,這些組件的目的是滲透到隔離的網絡系統中,進而竊取有價值的信息。下表中總結了第一次和最後一次檢測到的APT30所使用的最常見的惡意軟體的情況。

表2:APT30 惡意軟體第一次和最後一次(已知的)的編譯情況

其中,BACKSPACE 和 NETEAGLE有所不同,它們都有多個變種,其中的某些變體是模塊化設計的,允許攻擊者根據特定的目標創建定製的版本。BACKSPACE 和NETEAGLE兩者之間有很多細微的差別,其中最明顯的區別是BACKSPACE使用純文本格式傳輸數據,而NETEAGLE的某些變體使用了 RC4 加密算法。這表明攻擊者試圖通過加密的方式隱蔽攻擊活動,以逃避調查人員的檢測。FireEye識別出了BACKSPACE 的兩個代碼分支,代號分別為「ZJ」和「ZR」。BACKSPACE 包含一些顯著的特徵,比如「ZR」分支的工具能夠繞過主機的防火牆檢測;「ZR」分支的工具能夠在沒有直接訪問的情況下接觸到目標網絡。此外,BACKSPACE變種有能力實現元數據(如文件名、屬性、大小和MAC時間等)的傳輸,且攻擊者可以選擇文件進行上傳,這樣做可以減少通過目標網絡的傳輸流量,從而降低被發現的概率。BACKSPACE 和 NETEAGLE作為APT30組織的核心工具套件,似乎是相互補充、不斷完善的,而非相互取代。

SHIPSHAPE工具能夠感染可移動的和固定的驅動器,在系統之間進行傳播,適用於隔離網絡的入侵。它針對特定大小的驅動器,通過在原始文件上設置隱藏選項來替換目標驅動器上的文件和文件夾,在受感染主機的指定路徑上植入SPACESHIP可執行文件。為了提高效率,SPACESHIP 可執行文件復用了目標驅動器上原始文件的名稱。SPACESHIP 惡意軟體基於一組指定的文件擴展名來竊取文件,能夠複製這些目標文件到可移動驅動器上,可移動驅動器能夠插入到隔離網絡的受感染主機。

FLASHFLOOD工具能夠記錄並複製受感染主機的系統和聯繫人信息,某些特性與SPACESHIP相似,比如相同的編碼過程和基於預配置模式搜索和歸檔文件的能力。與 SPACESHIP不同的是,FLASHFLOOD對插入的可移動驅動器進行掃描,搜過感興趣的文件,然後將它們從移動驅動器複製到感染了FLASHFLOOD的計算機上。

跟蹤APT30惡意軟體的版本情況,可以發現該組織在活動中使用的惡意軟體不斷地增加新的功能,得以執行更為複雜的攻擊。此外,威脅演員會觀察後門程序的版本並具有自我更新的能力,確保活動中它們的目標運行的惡意軟體是最新版本。此外,還需要注意的是,APT30組織嘗試通過實施硬體檢測來保護後門程序控制器軟體,表明這些惡意軟體是專為特定基礎設施中的某類用戶組而定製的。

技術矩陣

APT30惡意軟體的能力,如下圖所示:

相關資料

Guarnieri, C. (2015, June 19).

https://netzpolitik.org/2015/digital-attack-on-german-parliament-investigative-report-on-the-hack-of-the-left-party-infrastructure-in-bundestag/

Trend Micro. (2015, June 10).

https://blog.trendmicro.com/tv5-monde-russia-and-the-cybercaliphate/

Alperovitch, D. (2016, June 15)

https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/

FireEye, Inc. (2014). APT28: A Window int Russia’s CyberEspionageOperations?

https://www2.fireeye.com/rs/fireye/images/rpt-apt28.pdf

Fireeye Labs. (2015). APT30 and the mechanics of a long-running cyber espionage operation.

https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf

*文章來源:azeria-labs,轉載請註明來自MottoIN

相關焦點

  • apt 和 apt-get 之間有什麼區別?
    其通常使用.deb-formatted文件,但經過修改後可以使用apt-rpm處理紅帽的Package Manager(RPM)文件。Apt-get在Linux社區得到廣泛使用,成為用來管理桌面、筆記本和網絡的重要工具。隨著Linux在企業中的普及,Windows和Mac用戶了解如何使用apt-get加載應用程式有一定的好處。
  • CVE-2019-3462:Linux 包管理器apt/apt-get遠程代碼執行漏洞預警
    0x00 漏洞背景2019年1月22日 @Max Justicz 在其博客中公開了有關於 debian 系包管理器
  • 全球高級持續性威脅(APT)2019年中報告
    ,除了APT28以外,其他三個組織的公開披露活動有所減少。在此背景下,網絡攻擊活動往往作為刺探對手情報,監控人員輿論,配合間諜活動和情報活動甚至製造虛假言論和虛假新聞的最有效方式之一。而在中東地區,公開披露最多的屬據稱為伊朗政府背景的相關網絡攻擊活動,這也源於伊朗與以美國為首的西方國家的政治和外交關係相左的原因。
  • 使用 apt-get 清理 | Linux 中國
    軟體包的更新相當頻繁,諸如 apt-get update 和 apt-get upgrade 之類的命令使此過程非常容易。另一方面,你多久使用一次 apt-get clean、apt-get autoclean 或 apt-get autoremove?這些命令會在 apt-get 的安裝操作後清理並刪除仍在系統上但不再需要的文件,這通常是因為需要它們的程序已經卸載。
  • 2018年全球十大APT攻擊事件盤點
    偽裝成韓國國家反恐中心(NCTC)的電子郵件地址發送魚叉郵件,以及註冊偽裝成韓國農業和林業部的惡意域名 韓國平昌冬奧會APT攻擊事件是由McAfee在今年伊始公開披露的APT事件,據相關新聞報導,其導致了奧運會網站的宕機和網絡中斷。
  • 全球高級持續性威脅(APT)2018年總結報告
    我們結合上述說明對自身收集渠道收集的公開報告內容進行分析,並從公開披露的信息中公布全球高級持續性威脅的態勢情況。一、 數量和來源360威脅情報中心在2018年監測到的高級持續性威脅相關公開報告總共478篇,其中下半年報告披露的頻次和數量明顯高於上半年。
  • 如何在 Ubuntu Linux 16.04 LTS 中使用多個連接加速 apt-get/apt
    你需要使用到 apt-fast 這個 shell 封裝器。它會通過多個連接同時下載一個包來加速 apt-get/apt 和 aptitude 命令。所有的包都會同時下載。它使用 aria2c 作為默認的下載加速器。
  • 教你如何在 Linux 中使用 apt 命令
    apt 是一個命令行實用程序,用於在 Ubuntu , Debian 和相關 Linux 發行版上安裝,更新,刪除和管理 deb
  • Linux作業系統,詳解Linux apt命令
    本期學習Linux apt命令apt(Advanced Packaging Tool)是一個在 Debian 和 Ubuntu
  • 軟體包管理apt-get 使用詳解
    常用的apt-get命令sudo apt-get update 更新源sudo apt-get install package
  • 針對以色列和巴勒斯坦的apt式攻擊
    通過我們的調查,之前並無行為上與此相同的apt記錄。同時惡意軟體會開始連接攻擊者伺服器,同時會在同一個文件夾建立一個明文文本開始記錄日誌。。。。。(mlgb)如上,我們進行了大量的調查,在一些基礎設施中發現了一些功能更加全面的惡意軟體屬於Xtreme RAT和Poison Ivy家族並且使用與downloadexcute相同的域名,我們可以認為其屬於在downloadexcute之後第二階段的而已軟體。其中觀察到的Poison Ivy使用admin2014和admin!@#$%作為密碼
  • 【思路/技術】初探APT 攻擊
    該緩衝區位於企業內部網絡和外部網絡之間的小網絡區域內,在這個小網絡區域內可以放置一些必須公開的伺服器設施,如企業Web伺服器、FTP伺服器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網絡。因為這種網絡部署,比起一般的防火牆方案,對來自外網的攻擊者來說又多了一道關卡。DMZ區域既可以與外網通訊,也可以與內網通訊,但受安全策略的限制。
  • 研究團隊披露APT組織Lazarus發起的供應鏈攻擊細節;Avast發現針對數百萬Android用戶的欺詐活動UltimaSMS
    Mozilla發現2個惡意擴展阻止用戶安裝Firefox更新【分析報告】SEON發布關於全球網絡犯罪威脅態勢的分析報告研究團隊披露APT組織Lazarus發起的供應鏈攻擊的細節Kaspersky研究團隊於本周二披露了Lazarus在近期發起的供應鏈攻擊。
  • Invoke-APT29:模擬攻擊仿真
    MITRE最近在其正在進行的年度Endpoint Security Eficacy測試和評估系列中進行了第二次ATT&CK反攻擊仿真,此次仿真側重於評估多個端點安全供應商針對模擬攻擊者的行為能力,該測試基於詳細記錄的真實攻擊參與者。預防不是這次測試的重點,因此假定的攻擊和了解攻擊者在被利用後活動的能力是主要的重點。
  • 毒雲藤(APT-C-01)軍政情報刺探者揭露
    同日微軟發布相關安全公告2015年2月25日,對某軍工領域協會組織(國防科技相關)、中國工程院等攻擊,同時發現酷盤版樣本2017年10月,主要通過CVE-2017-8759漏洞文檔對某大型媒體機構網站和泉州某機關相關人員實施魚叉攻擊2018年4月,360威脅情報中心公開披露了該組織利用CVE-2017-8759漏洞文檔的攻擊惡意代碼22018年
  • 2019年APT回顧與思考
    這是兩個月來第三次披露伊朗組織的細節。這次洩密與其他洩密不同,它允許任何人瀏覽洩密文件的網站。網站包含內部文檔、聊天信息和其他與拉納研究所的CNO(計算機網絡操作)能力相關的數據,以及有關受害者的信息。以前的洩漏更多地集中在工具、原始碼和參與者信息上。
  • 2019年上半年高級持續性威脅(APT)研究報告
    根據騰訊安全御見威脅情報中心的監測以及公開的報告和資料,我們將在2019年上半年對中國大陸有過攻擊的組織按疑似的地理位置分為東北亞方向、東亞方向、東南亞方向、南亞方向、其他方向。御見威脅情報中心曾在2018年12月詳細的披露過該組織的攻擊活動和技術細節,以及和白象等組織的關聯關係。2019年上半年該組織的技術特點跟之前的類似,未發現有明顯的改進。
  • MMCore針對南亞地區的APT攻擊活動分析
    2.5 WankyCat2019-3-11 18:01:590253a9b3ec0c2b18492a3aaf30aac3f42.5 FreshPass2019-11-21 17:01:140586090db0121c36c956263b2069eb732.5 FreshPass2020-01-27 17:30
  • 卡巴斯基實驗室:2020Q2 APT趨勢報告
    令人驚訝地是,NCSC將惡意活動歸因於APT-29威脅參與者,但沒有提供任何公開的證據。根據我們的研究,我們可以確認WellMess惡意軟體的活動似乎呈現一個周期的趨勢,自發現以來,大約每三個月就在惡意活動中使用一次。我們觀察到該惡意軟體在2019年秋季呈現活動的高峰,隨後在2020年2月增加了C2的數量。我們還觀察到一些高價值目標,包括中東、北非和歐盟的電信公司、政府和承包商。
  • Donot(APT-C-35)組織對在華巴基斯坦商務人士的定向攻擊活動分析
    360威脅情報中心在本文中對本次的釣魚攻擊活動的過程與技術細節進行揭露,希望相關組織和個人能夠引起足夠重視並採取必要的應對措施。 2017年,360公司發現並披露了主要針對巴基斯坦等南亞地區國家進行網絡間諜活動的組織[1],內部跟蹤代號為APT-C-35,其後網絡安全廠商Arbor公開了該組織的活動並命名為Donot[2]。