18个月的网络战争以快速发展的工具包为特点
政府有关威胁组织在攻击中东政府基础设施时遭到一些不太友好的攻击,开始了一场网络混战。
赛门铁克 (Symantec) 的研究人员认为在 2018 年,一个说俄语的黑客组织劫持了他们的伊朗竞争对手 Crambus (又名OilRig) 的基础设施。
在这次攻击中,黑客组织 Waterbug (又名Turla) 向 Crambus 控制的计算机上投放了恶意软件。这个恶意软件正在与已知的 Waterbug C&C 服务器进行通信。赛门铁克认为这次独特事件的脉络是,Crambus 首先入侵并控制了一个尚未具名中东政府的部分计算机基础设施。
嗅到能够加强网络能力并干扰对手的机会,黑客组织 Waterbug 将名为 msfgi.exe 的任务调度程序投放到了 Crambus 网络中的计算机上。第二天,他们通过 Mimikatz 在网络中横向移动。
Mimikatz 黑客工具在 2018 年初被部署到 Crambus 的网络上。赛门铁克研究人员在报告中指出:
“
Mimikatz是通过Powruner工具和Poison Frog控制面板被下载的。很多供应商都公开将基础设施和Powruner工具与Crambus联系在一起。
攻击中使用的特殊 Mimikatz 变体实际上将其与 Waterbug 组织联系在一起,因为除了 sekurlsa::logonpassword 凭证窃取功能之外,他们通过重写几乎修改了所有原始代码。
俄罗斯网络黑客组织WaterBug以往活动
如果这是一个威胁集团试图攻占另一个集团的基础设施,那么这标志着一个有趣的战术升级,也标志着俄罗斯黑客组织 Waterbug 的日益成熟。
自 2018 年初以来,Waterbug 已经与针对 10 个不同国家组织的一系列攻击联系在一起。这些目标包括横跨三大洲的外交部、中东的一个 ICT 组织以及南亚的一个教育机构。
跟踪这些袭击的研究人员注意到,该组织正在变得越来越成熟,全年都在部署新的武器。这些新工具包括一个自定义的黑客工具,它将之前泄露的四种黑客工具——EternalBlue, EternalRomance, DoublePulsar 和 SMBTouch 合并到一个可执行文件中。
他们还使用 visual basic 脚本,这些脚本可以进行信息侦查,从而将数据发送到被控制的服务器上。
赛门铁克指出,可以看出 PowerShell 攻击仍然很流行。
“
PowerShell 脚本在 Windows 凭证管理器上进行信息侦察和凭据盗窃,然后将这些信息发送给 Waterbug C&C。
越界攻击的动机
目前还不清楚这两个国家黑客组织之间究竟发生了什么。赛门铁克发现,随着一个名为 IntelliAdmin 的合法系统管理工具突然出现在 Crambus 的网络中,整个事情变得有些混乱。它似乎是通过 Waterbug 后门被投放到没有被 Crambus 入侵的电脑上。
一些人认为,这是一个虚假行动,目的是混淆视听,让研究人员和网络防御组织失手。
赛门铁克提出的一种解释是 Waterbug 准备攻击中东政府系统,但经过侦察发现 Crambus 已经开始了类似的攻击,所以控制 Crambus 的网络更加容易,同时也能为他们提供访问政府系统的权限。
尽管赛门铁克还有很多没有回答的问题,但他们指出:
“
Waterbug 不断进化的工具包显示出一个团队的高度适应性,决心通过领先目标一步避免被发现。频繁的装备更新和对虚假战术的偏好使得该组织成为有目标攻击领域中最具威胁的对手之一。
领取专属 10元无门槛券
私享最新 技术干货