APT Operation Veles:针对全球科研教育领域长达十年的窃密活动

Khan安全团队

发布于 2024-06-05 11:02:21

1420

发布于 2024-06-05 11:02:21

概述

UTG-Q-008、UTG-Q-009等多个攻击团伙对政企构成了重大威胁。其中，UTG-Q-008是唯一一个专门针对Linux平台进行攻击的组织，背后拥有庞大的僵尸网络。经过长达一年的高强度跟踪，我们最终证实了UTG-Q-008利用僵尸网络资源对国内科研教育领域进行窃密活动的证据。本文详细分析了UTG-Q-008的攻击手法和基础设施，揭示了其高达70%的基础设施为跳板服务器，并且每次开展新活动时都会更换新的跳板。攻击者掌握的域名中，最早的在十年前就已开始活跃，其对抗强度远超主流APT组织。攻击流程图如下：

目标

UTG-Q-008针对国内的攻击活动拥有多个攻击列表，我们只拿到了其中一个，包含国内五千多个网段：

经过去重处理后，我们发现UTG-Q-008的目标IP数量超过了一千万。详细比对后确认，这些目标IP大部分属于CN CER（China Education and Research）网络的资产，显示出极强的攻击针对性。此外，UTG-Q-008还对中美顶级的生物基因和RNA免疫治疗科研项目表现出浓厚兴趣。对这一领域有需求的组织并不多见，只有我们之前披露的Operation HideBear行动中曾有涉及。

僵尸网络

从防御者的角度来看，攻击者似乎拥有无限的网络资源。每次大规模活动时，受害的Linux服务器请求payload的域名和反弹shell的IP均为全新的跳板服务器。攻击时间通常在凌晨0-4点之间，shell的持续时间仅有2-3分钟，这使得传统的IOC情报难以对其进行有效防御。

扫描和爆破

目前，许多单位会修改边界Linux服务器的SSH默认端口。因此，UTG-Q-008首先调用僵尸网络的大量资源，对目标网络进行分布式SYN扫描，以探测开放端口。我们计算了单个IP的SYN扫描频率，平均每秒25-35次。同样，在后续的分布式爆破活动中，单个IP每秒的爆破次数不超过十次。通过这种对抗策略，UTG-Q-008在一个月内成功爆破了9台服务器的root密码，其中包括6台科研服务器和3台边界设备。边界设备主要为防火墙、路由器和主机的带外管理设备。

僵尸网络资源分布

我们对ssh登录的源IP的数量和地区进行了简单的统计，中国被控节点最多，美国次之。

在数百个节点中，我们未发现统一的特征，只有几十台节点装有Zabbix PowerMTA监控的Web服务器。通过奇安信僵尸网络系统的回滚分析，发现有三个节点命中了Perlbot僵尸网络，三个节点命中了Outlaw，一个节点命中了Mirai僵尸网络。攻击者在横向移动时释放的Nanobot与Perlbot非常相似。由于Perlbot本身是一个非常简单的脚本木马，任何人都可以使用，因此我们只能确认UTG-Q-008能够调用这些僵尸网络集群的网络资源。对于Mirai节点对应的集群，我们无法进行归属。两个不同僵尸网络的节点出现重叠属于正常现象。

UTG-Q-006与UTG-Q-008的联系

UTG-Q-006是一个半公开的内部组织，主要目标是暴露在公网上的Windows设备，背后同样依托于一个庞大的僵尸网络。虽然我们没有获取该组织的目标列表，但该团伙在半个月内成功爆破了重点单位RDP端口的八位非弱口令密码。在横向移动时，UTG-Q-006展现了极致的LOLbins手法，仅依靠合法工具（如AnyDesk、Chisel、Advance Port Scanner）在内网中漫游，最终入侵了MES服务器，对工业生产流程造成了潜在影响。

由于僵尸网络的复杂性，我们只能证明UTG-Q-008、UTG-Q-006和 outlaw之间互有重叠，无法判断它们之间属于雇佣关系还是隶属关系。不同攻击集合中的节点重叠情况如下：

在我们一年的监控期间，这批针对国内的僵尸网络节点从未发起过DDOS活动，这对于传统的僵尸网络来说是非常罕见的现象。

武器组件

攻击者的武器一般都以tar的格式打包存储在跳板服务器上，基础设施与上述僵尸网络的节点没有重叠，被控的服务器所挂载的正常服务较为杂乱，能够识别出来的只有wordpress框架并且大部分跳板服务器带有域名，其中有一个国内的合法域名距今已经有14年之久，所以攻击者一般都使用跳板域名进行活动。跳板服务器所在国家占比如下：

Nanobot组件

攻击者拿到服务器权限后一般会通过wget或者Curl从跳板服务器上下载Nanobot组件，组件启动流程如下：

攻击者在注释中称启动的Run64为Nanobot，经过分析该ELF可执行文件由Python打包，核心逻辑与开源的Perlbot非常相似。

从连续的流量中我们可以确认当Nanobot的C2建立连接之后，攻击者选择启动新的反弹shell或者SSH反向隧道的方式来下载后续的插件，这种临时shell所连接的跳板C2与上述僵尸网络节点和存储武器的跳板服务器均没有重叠，并且shell只持续2-3分钟，很难对其进行捕获和分析，反弹shell的跳板IP对应类型占比如下，包含 Ubiquiti路由器、未知的智能家居设备、exchange服务器等。

内网探测组件

UTG-Q-008拥有多种类型的内网扫描器,一般用于扫描内网中的B段机器的指定端口是否开放。

攻击者收集完内网的网段后会下发横向移动组件。

横向移动组件

横向移动组件流程如下：

步骤较多大体上分为两段，第一段的实际上是在B段扫描器生成的结果基础上对目标内网的linux服务器进行ssh端口测绘，将测绘出的结果banner.log与工具包中内置的exclude.lst进行比较，删掉特定SSH Banner的linux服务器，攻击者的爆破程序可能对有些SSH版本做了优化：

第二段的主要功能是调用pfile读取linux服务器的etc/passwd文件获取用户名，在用户名后面添加弱口令的方式来生成额外的密码本。例如《root+“1234”》，将新生成的密码本添加到工具包中内置的pass文件中。

原始的Pass文件是UTG-Q-008针对中国地区的目标特别设计的密码本，内置4000多个账密，大部分为汉语拼音：

经过详细的分析，我们认为这些账密绝非随机生成，而是攻击者在国内多年的攻击活动中积累所得，保守估计国内有上千台服务器曾经在UTG-Q-008的历史活动中被入侵，最终启动parse开始爆破内网服务器，首先会发起Http请求读取内置的跳板URL的数据来验证lan脚本中传入的参数是否合法，网络验证成功后才会进行爆破。

启动后会发起Http请求读取内置的跳板URL的数据来验证lan脚本中传入的参数是否合法，网络验证成功后才会进行爆破。

攻击者可能觉得工具包中六个golang编写的ELF太过于繁琐，在其他机器的横向过程中释放了一个轻量化python脚本，舍弃了SSH Banner测绘的流程，仅保留了第二段的逻辑。

得益于UTG-Q-008在国内“深耕”多年的努力，其设计的这套组件在linux服务器区的内网横向移动中取得了不俗的成果。

FRP组件

当攻击者想要登录内网机器时，一般会在边界服务器上启动FRP反向代理，执行流程如下：

FRP还有一个用处：当内网横向移动组件没有起到太大的效果时，可以利用FRP隧道调用外部僵尸网络的算力针对内网重要机器进行爆破。

窃密插件

深入到内网到一定程度后，攻击者会选择在重要的服务器上安装窃密插件，ELF启动后会执行内置的Bash脚本，Bash文件包含大量的正则表达式用于收集linux服务器上存储的敏感信息，从功能上分有6部分，每部分下有十条左右的匹配规则，我们挑选出部分规则做介绍。

1、对linux上各种历史文件和隐藏文件进行解析，匹配出潜在的ssh、ftp等包含敏感信息的命令。

2、寻找VNC凭证并下载解密插件进行解密

3、提取sshpass凭证、github凭证和其他类型的凭证文件

4、搜索多个符合条件的文件，并使用对应的正则表达式提取文件中的敏感信息，例如搜索特定目录下的.gitconf文件，提取邮箱信息。

5、分析系统日志和代码，例如在/usr/include/目录下的文件中搜索明文账密。

在分析过程中发现UTG-Q-008针对postech目录下小于15k的文件内容做了独立的过滤条件，经过搜索postech似乎是韩国一所研究型的大学，暂不清楚为什么在针对国内的科研体系攻击者中使用该规则，可能是攻击者忘记删除，也可能是想要获取postech与国内合作项目的信息。

总之，这套复杂的窃密脚本给攻击者带来了巨大的正向收益，获取git凭证后，直接从内网的代码服务器拉去源代码并和服务器上的科研数据一起打包传到跳板服务器上。

xmrig

没有任何一个攻击者能够拒绝在一台装有五张RTX4090或者八张RTX3090显卡的linux服务器上安装挖矿组件，尽管我们的研究团队并不是满脑子只有地缘政治的民族主义者，但是这种行为不得不让我们思考攻击者是否想要阻碍我国科学技术的发展，从结果上看xmrig组件的存在能够很好的掩盖UTG-Q-008的真实目的，毕竟上述介绍的各种组件在实际攻击过程中最多只在受害机器上停留五分钟，而xmrig组件则会一直运行到我们上门取证为止。

受害范围

最近三年的受害IP（能够定位出具体单位）数量高达1500+，教育网（CER）占比最高，符合UTG-Q-008攻击列表中的内容。