Poking the Bear:俄罗斯从背锅侠到受害者

Poking the Bear:俄罗斯从背锅侠到受害者

民族国家冲突已经成为许多政策讨论和网络安全战略思想的重点。当具有地缘政治意义的事件发生时,研究人员会寻找事件背后由国家赞助的威胁行为者,毕竟每个故事背后都可能潜伏着一场网络运动。

但普通罪犯也在广泛阅读,并敏锐地意识到一些研究人员的偏见。利用这种偏见可以进行伪装使自己更难以发现。

背景

俄罗斯石油公司自称是世界上最大的上市石油公司,根据《纽约时报》的最新分析,它也是俄罗斯政府重要的外交工具。俄罗斯政府拥有该公司一半以上的股权,是俄罗斯以及其邻国的关键基础设施的主要支柱。

Poking the Bear:俄罗斯从背锅侠到受害者

因此,当这个年交易量超过100亿美元的公司宣布将其20%股权进行私有化时,世界各地的新闻机构都对此进行了报导。

这笔交易很快成为国际政治阴谋的主题:谁是买家?为什么要卖?谁促成了这笔交易?当臭名昭著的Steele Dossier中提及了这场交易时,人们更加肯定这就是一场阴谋。

记者、商界领袖和国际观察员对俄罗斯石油公司进行了详细审查,部分原因是由于根据新闻报道,这笔交易的过程跌宕起伏,一群人物涉及其中,一名前卡塔尔外交官也包括在其中。

我们在过去几年中所了解的关于俄罗斯石油公司的一切——作为关键基础设施的地位、私有化涉及的巨额资金、国内和国际政治意义,研究人员认为这是一次由国家赞助的间谍活动。但随着研究的深入,研究人员发现最初的猜想是有偏差的。

威胁的演变

2017年7月,Cylance偶然发现了一些有趣的宏,这些宏嵌入在一个针对俄语用户的常见恶意软件存储库中发现的Word文档中。研究人员在2018年初发现了相同类型的文件,并决定仔细研究。

研究人员注意到恶意软件开发者精心使用了命令和控制(C2)域,这些域与俄罗斯石油和天然气行业(特别是俄罗斯石油公司和其子公司)使用的域几乎一样。

随着研究的深入,研究人员发现除了主要的俄罗斯金融交易所之外,威胁行为者还创建了类似的网站,模仿了二十多个国有石油、天然气、化工、农业和其他关键基础设施机构。

研究人员遇到的第一个与俄罗斯石油公司相关网站是“rnp-rosneft[.]ru”,其设计与合法网页“rnp-rosneft[.]ru”相似。唯一不同的是此域名的引用是电子邮件地址“sec_hotline@mp-rosneft[.]ru”,Rosneft使用该邮箱来保密地报告公司欺诈、腐败和挪用公款的现象。

经过一些恶意软件挖掘后,研究人员发现其已经运行了三年多,对实际使用的恶意软件很少进行更改。有趣的是,研究人员发现的证据表明,开发者开始瞄准游戏社区,特别是Steam用户。

网络钓鱼文件分析

Cylance的研究人员发现了几个使用Microsoft Office宏向其目标传递恶意植入的网络钓鱼文档。目前尚不完全清楚这些是专门针对孤立的群体还是所有的群体都适用。

Poking the Bear:俄罗斯从背锅侠到受害者

网络钓鱼文档的宏内容

此宏将向%APPDATA%中名为“1.txt”的文本文件写入许多FTP命令。当由最后一个命令执行时,它将登录并从“rnp-rosneft[.]ru”上托管的ftp服务器下载文件,并将其另存为“module.exe”。然后启动“module.exe”二进制文件并删除另一个名为“1.cmd”的文件。二进制“module.exe”是ESET称为“RedControle”的恶意软件系列的变体。Cylance确定了几个其他网络钓鱼文档。

恶意软件分析

研究人员恢复了几个与rnp-rosfnet[.]ru域连接的网络钓鱼最新样本,以及从2017年7月开始与rnp-rosfnet[.]ru绑定的一些旧样本。从研究人员收集到的样本来看,“rnp-rosfnet[.]ru “最初是一家名为“TechnoSnabTorg”的俄罗斯公司的网站,该公司专门为卡特彼勒、小松、沃尔沃、菲亚特和日立设备提供钻井和筑路设备备件。

该样本于2017年7月首次提交给在线病毒扫描程序,当时仅有13家公司检测到:

Poking the Bear:俄罗斯从背锅侠到受害者

后门在Delphi中编程,并通过HTTP与两台C2服务器通信。它在初始通信中发送有关IP地址、主机名和连接驱动器的信息。

它首先尝试直接与TCP端口80上的IP地址“91.211.245[.]246”通信,然后尝试在TCP端口17425上与“83.166.242[.]15”进行通信。击键数据、剪贴板数据以及窗口名称通过HTTP以明文形式传递给91.211.245[.]246,通信几乎是实时的。

利用SetWindowsHookExA API收集信息,命令从另一个C2服务器“83.166.245[.]15”接收。但是,该后门还具有使用Delphi Indy库通过SSL进行通信的能力:

Poking the Bear:俄罗斯从背锅侠到受害者

发送击键和窗口数据的TCP HTTP请求示例

后门使用受感染用户的注册表配置单元下的旧式运行键自行安装“HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ApMsgFwd.exe”。

该后门能够上传和下载文件、操控文件和文件夹、使用ZLIB压缩和解压缩文件、枚举驱动器信息和主机信息、提升权限、捕获屏幕截图和网络摄像头图片、阻止或模拟用户输入、记录击键,并操纵受感染系统上的进程。

来自C2的指令被字符“_”随机分解,试图逃避HIDS和NIDS签名,例如命令“ST_A_RT_FI_LE”。

更高版本的RedControle使用由相同“_”字符分解的随机字符串,以进一步阻碍基于签名的分析和逆向工程工作。在Cylance研究人员分析的样本中,初始连接看起来像这样:

Poking the Bear:俄罗斯从背锅侠到受害者

其中蓝色的字符串由C2服务器发送,而红色的字符串由受害者发送。该后门使用一系列线程进行操作,这些线程旨在将不同的后门功能划分为自主线程。

结论

当研究人员第一次发现威胁行为者使用二十多个网站来模仿真正的俄罗斯关键基础设施公司时,他们很感兴趣。建立这些域所需的努力似乎与将其简单地用作命令和控制基础设施的好处不成比例。

2017年《福布斯》俄罗斯版发表了一篇付费文章,名为《克隆人的攻击:计划如何与俄罗斯石油公司和其他大公司的虚假网站合作》(名字由谷歌翻译)。这篇文章将未发表的Group-IB研究结果描述为一个精心设计的犯罪计划,其中威胁行为者正在创建合法的俄罗斯关键基础设施公司——主要是俄罗斯石油公司——以获取证书并进行永久性欺诈。

在文章中,作者提供了许多虚假网站的屏幕截图,以展示这些虚假网站的设计几乎和真实网站一样。

该文章按名称引用了几家公司和网站,Group-IB称这些公司和网站是欺诈活动的一部分,至少有一家受影响的公司是Group-IB的客户。

除俄罗斯石油公司外,还包括Mendeleevkazot、HCSDS和EuroChem。Mendeleevkazot是一家肥料制造商,也是俄罗斯大型关键基础设施控股公司的一部分。HCSDS是西伯利亚商业联盟的缩写,这是一家由几家俄罗斯关键基础设施公司组成的控股公司。EuroChem(Group-IB的客户)是一家总部位于瑞士的肥料公司,其开采业务主要在俄罗斯。

考虑到调查结果的重叠以及与过去针对游戏社区的犯罪活动的直接联系,研究人员很确定这是犯罪行为,而不是民族国家的间谍活动。

组织良好的犯罪活动与民族国家活动之间的界限往往模糊不清,但威胁情报的从业者和消费者应该摒弃固有的偏见,乍一看似乎是民族国家行为的可能实际上只是黑客在入侵组织之前看破了的思维方式。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133334.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code