俄罗斯间谍组织APT28使用NSA的工具攻击欧洲酒店的旅客

俄罗斯间谍组织APT28使用NSA的工具攻击欧洲酒店的旅客

近日,FireEye发布了一份有关APT28攻击活动的报告,声称已经掌握了足够的证据,可以证明知名的俄罗斯网络间谍组织APT 28 目前针对欧洲和中东一些酒店的旅客发起特定的网络攻击,并称这项活动至少可以追溯到2017年7月,使用到的技术包括:从Wi-Fi流量中嗅探密码、对NetBIOS Name Service施毒、利用EternalBlue漏洞利用工具横向移动。

apt28瞄准酒店行业发起攻击

FireEye发现有一份恶意文件通过鱼叉式钓鱼邮件被发送到酒店行业的多家公司,影响范围至少包含了7个欧洲国家,该恶意文件最早在一个中东国家被发现的,时间是今年七月份。恶意文档中包含的宏负载是经由APT 28 签名的GAMEFISH恶意软件部署的。

恶意文档的名称是Hotel_Reservation_Form.doc(如下图1所示),包含一个Base64编码的宏负载,经由APT28签名过的 GAMEFISH恶意软件部署安装,其C&C服务器的域名为:mvband.net和mvtband.net。

俄罗斯间谍组织APT28使用NSA的工具攻击欧洲酒店的旅客

图1: Hotel_Reservation_Form.doc

APT 28采用了新的攻击技术

APT28在攻击中使用了新的技术,包括eternalblue漏洞利用工具和开源的Responder工具,便于在网络中横向移动和攻破目标旅客。一旦进入酒店公司的内部网络,APT28首先会试图寻求能够控制客人和内部Wi-Fi网络的机器。在我们这次的调查中,没有观察到酒店客人凭据被盗的现象。不过在另外一起发生在2016年秋天的案例中,APT28获得了受害者的网络访问权限,凭据可能是从酒店的Wi-Fi网络中窃取的。

获得企业和客户连接到Wi-Fi网络的设备信息之后,APT28部署Responder.工具。Responder工具用于执行NetBIOS Name Service (NBT-NS)施毒/欺骗,它会监听受害者计算机上发出的试图连接到网络资源的NBT-NS (UDP/137)广播。一旦接收到请求,Responder就会伪装成受害者计算机想要寻找的资源并与之建立连接,从而导致被害人的计算机将自己的用户名和密码发送到攻击者控制的机器上。APT28利用这种技术来窃取客人的用户名和密码,在受害人网络提升权限。

APT28 使用一个EternalBlue SMB漏洞开发出来的利用工具在酒店公司网络内进行的向转移/传播。这个工具还大量结合py2exe程序对Python脚本进行打包。这是我们第一次看到APT28利用这个漏洞进行入侵。

在2016年的事件中,受害者在连接到一个酒店Wi-Fi网络后被感染。在被害人最初连接到一个公开可用的Wi-Fi网络的十二小时后,APT28用窃取到的登录凭据访问了被害者的机器。也就是说,攻击者用了12个小时离线破解了哈希密码。成功进入受害者的机器后,攻击者在机器上部署工具,在受害者的网络上进行横向移动,并访问受害者的OWA帐户。登录源于同一个子网中的一台计算机,这表明攻击者的机器在物理上接近受害者,它们处于同一Wi-Fi网络。

我们无法证实2016事件中最初的凭据是如何被盗的。然而,在此次调查的入侵事件中,Responder被部署了。由于该工具允许攻击者从网络流量中嗅探密码,因此它可能被用于从酒店Wi-Fi网络的流量中获取用户的凭据。

长期的针对旅客的威胁

针对酒店行业的网络间谍活动,通常都更侧重于收集酒店客人的信息,而非酒店本身的信息。尽管攻击者也会收集酒店的信息,但只是将其作为促进业务的一种手段。商务人士和政府人员,尤其是在国外旅行的人,往往依赖于酒店的网络系统进行业务交流,而不是在自己的办公室环境,可能不熟悉在国外可能遭受的网络威胁。

APT28并不是唯一针对旅客进行攻击的黑客组织。与韩国有关的Fallout Team (又被成为aDarkhotel)经常会使用欺骗性的软件感染的亚洲地区酒店的Wi-Fi网络。在欧洲一家酒店(客人中包括了伊核谈判的参与者)的网络中发现了恶意软件Duqu 2.0。此外,根据公开报道的消息可知,最近几年,去往俄罗斯和某国的“高调的”酒店客人,完全可以期待他们的旅馆房间、笔记本电脑和其他电子设备访问被陌生人访问。

展望与启示

这些事件表明,APT28使用了新的感染向量。该组织的成员利用不安全的酒店Wi-Fi网络窃取凭据,利用NetBIOS Name Service施毒实行特权升级。随着感染向量的不断扩展,APT28已经具有更广泛的网络攻击能力和策略,该组织将继续发展和完善。

旅客必须意识到在旅行(特别是在国外)时所可能遭受到的网络威胁,并采取额外的防范措施以确保自己的系统和数据安全。公共可访问的Wi-Fi网络存在重大的安全隐患,应尽可能避免使用。

MD5

Hotel_Reservation_Form.doc:9b10685b774a783eabfecdb6119a8aa3

GAMEFISH:1421419d1be31f1f9ea60e8ed87277db

更多资料

SpiderLabs/Responder:https://github.com/SpiderLabs/Responder

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/news/104818.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code