APT档案之:记录APT28 和 APT30的公开披露

APT档案之:记录APT28 和 APT30的公开披露

免责声明:本文中所描述的内容,是基于公开信息统计整理而成,所记录的技术仅用于教育目的,并不适用于指导如何使用APT攻击工具重现给定的攻击场景。这篇来源于“真实世界素材”的文章重点总结了APT攻击的“TTPs”(Tactics战略, Techniques技术和 Procedures程序),作者并没有试图将任何国家或个人归因于某个特定的APT组织。

APT28 概述

APT28进入大众的视野始于 Fireeye发布的一份有关俄罗斯网络空间威胁的专项研究报告(《APT 28: A Window into Russia’s CyberEspionageOperations?》),报告中指出 APT 28黑客组织至少在2007年就已经开始活跃了,APT28 黑客组织拥有一个熟练的开发团队,专门收集有关国防和地缘政治问题相关的情报,这些情报只对政府有用,组织成员工作的时间与俄罗斯几个主要城市(如莫斯科、圣彼得堡等)的时区一致,恶意软件样本使用俄语进行设置,APT28组织发起的间谍活动的目标包括格鲁吉亚、东欧各国政府和军队以及欧洲各国的安全组织。依据一系列的证据,Fireeye推断该组织与俄罗斯政府有关。

APT档案之:记录APT28 和 APT30的公开披露

最近已知的、与APT28相关的活动包括:针对德国联邦议院和法国的世界TV5电视台的网络攻击(2015年);美国民主党全国委员会(DNC)的网络入侵(2016年6月),这些事件与APT28/29的关联性由不同的安全公司和独立的研究人员分析得出(详情参见文章末尾的「相关资料」部分),因此 APT28 组织有多个不同的名称,也被称为“Sofacy”、 “Fancy Bear”,、“Sednit”、“Pawn Storm”、“TsarTeam” 和“Strontium”。

通过观察APT28 组织在网络攻击活动中使用的战略,可以作为评估其攻击的动机的依据。该组织由于对与俄罗斯有关的、秘密的地缘政治感兴趣而闻名,他们的目标包括政府、航空航天、国防、能源和媒体部门。值得注意的是该组织不会渗漏货出售攻击目标的财务信息(包括知识产权等),相反的,它使用高超的战术监视目标的一举一动,并努力保持自身的隐蔽性,这是一种非常有效的策略,通过长时间的跟踪、观测对手的动作,威胁者能够对目标的习惯、例程河秘密了然于胸,获得更有价值的洞察能力。APT28组织具备卓越的设备用于侦探和间谍活动,能够收集目标的战略状态信息,这些信息可以用来影响政治决策、公众舆论或地缘政治问题。

本文研究的重点是与APT28组织相关的最有趣的或被充分报道过的内容。并不能详尽这个组织使用过的所有TTPs,何况,在我们看不见的角落,它依然在不停的运作中。

恶意软件组件

APT28 能够针对不同操作系统发起攻击,包括Microsoft Windows、Linux 和 Apple iOS,同时也能够USB设备感染目标的隔离网络。针对windows系统的工具大多是后门和信息窃取,包括记录键盘、窃取系统信息并将收集到信息传送到远程 C&C 服务器。成功利用某一个攻击向量入侵目标后,一个downloader (SOURFACE)被写进磁盘,主要目的是与C&C服务器进行通信,并获得第二阶段的后门程序。

另一个后门程序,在FireEye报告中被描述为 “ CHOPSTICK”,能够从受感染的主机上收集到各类详细信息,包括Microsoft Windows操作系统版本、CPU架构、Windows防火墙的状态、用户帐号控制(UAC)的配置和IE设置。 “ CHOPSTICK”后门程序的一个变种包括了一个能够收集Microsoft Office文档和 PGP文件的模块。此外,该后门程序还能够检测某款特定安全产品和应用程序的安装情况。除了收集主机的信息之外,后门程序还可以通过桌面截图、记录键盘点击和见识活动的应用程序窗口来记录受感染主机上的用户活动。根据FireEye的报道,“ CHOPSTICK”后门程序采用模块化开发框架,因此根据编译时模块的不同,这类后门程序可能还包含不同的功能。

APT档案之:记录APT28 和 APT30的公开披露

另一个后门程序(“EVILTOSS”)通过downloader进行下发和交付,它能够访问受感染主机的文件系统和注册表、枚举网络资源、创建进程、记录键盘点击、读取存储的凭据和执行Shellcode。此外,该后门程序使用 RSA密钥进行了加密处理,以阻止对它的调查工作。最后,研究人员怀疑这个后门的一个变种在2004年就已经被观测到了,这表明APT28组织的活动可能已经超过10年了。

技术矩阵

APT28恶意软件的能力,如下图所示:

APT档案之:记录APT28 和 APT30的公开披露

APT30 概述

APT30组织也是由FireEye公开披露的一个隐藏了10+年的网络间谍组织,报告中提到通过分析其所使用的恶意软件的元数据和用户界面,确认 APT30 组织是使用中文的。已确定的该组织的攻击目标包括印度、韩国、马来西亚、越南、泰国、沙特阿拉伯和美国地区的各类公司和组织,除此之外,其他的一些国家和地区,如新加坡,缅甸,日本等,也被怀疑是 APT30 组织的目标。

APT档案之:记录APT28 和 APT30的公开披露

从已公开的信息可知,APT30组织维护着一套相关的攻击工具,有自己的攻击目标和策略,从2005年就开始活跃,持续时间长达10多年,尤其擅长进行长期的网络攻击活动。此外,从APT30组织使用的攻击工具可以看出其组织的层次相当严格,有统一的发展规划和活动调配,这些都显示了该组织背后有更高层利害关系方的支持。

APT30组织还与另外一个名为Naikon的黑客团体有关联,尽管有证据显示他们似乎来源于同一个国家,但尚未有充足的资料能够证明二者之间存在确切的关联。本文的研究者依然专注于 APT30组织相关的严格指标的研究。

恶意软件组件

APT30 组织所用的恶意软件的主要目标是Microsoft Windows操作系统,核心工具中包括两个后门程序:BACKSPACE 和 NETEAGLE。这些后门程序一般通过鱼叉式网络钓鱼攻击中附件的方式,直接或间接地进行交付。除了后门程序之外,还有一些被用于感染隔离网络的组件,如 SHIPSHAPE, SPACESHIP 和 FLASHFLOOD,这些组件的目的是渗透到隔离的网络系统中,进而窃取有价值的信息。下表中总结了第一次和最后一次检测到的APT30所使用的最常见的恶意软件的情况。

表2:APT30 恶意软件第一次和最后一次(已知的)的编译情况

APT档案之:记录APT28 和 APT30的公开披露

其中,BACKSPACE 和 NETEAGLE有所不同,它们都有多个变种,其中的某些变体是模块化设计的,允许攻击者根据特定的目标创建定制的版本。BACKSPACE 和NETEAGLE两者之间有很多细微的差别,其中最明显的区别是BACKSPACE使用纯文本格式传输数据,而NETEAGLE的某些变体使用了 RC4 加密算法。这表明攻击者试图通过加密的方式隐蔽攻击活动,以逃避调查人员的检测。FireEye识别出了BACKSPACE 的两个代码分支,代号分别为“ZJ”和“ZR”。BACKSPACE 包含一些显著的特征,比如“ZR”分支的工具能够绕过主机的防火墙检测;“ZR”分支的工具能够在没有直接访问的情况下接触到目标网络。此外,BACKSPACE变种有能力实现元数据(如文件名、属性、大小和MAC时间等)的传输,且攻击者可以选择文件进行上传,这样做可以减少通过目标网络的传输流量,从而降低被发现的概率。BACKSPACE 和 NETEAGLE作为APT30组织的核心工具套件,似乎是相互补充、不断完善的,而非相互取代。

APT档案之:记录APT28 和 APT30的公开披露

SHIPSHAPE工具能够感染可移动的和固定的驱动器,在系统之间进行传播,适用于隔离网络的入侵。它针对特定大小的驱动器,通过在原始文件上设置隐藏选项来替换目标驱动器上的文件和文件夹,在受感染主机的指定路径上植入SPACESHIP可执行文件。为了提高效率,SPACESHIP 可执行文件复用了目标驱动器上原始文件的名称。SPACESHIP 恶意软件基于一组指定的文件扩展名来窃取文件,能够复制这些目标文件到可移动驱动器上,可移动驱动器能够插入到隔离网络的受感染主机。

FLASHFLOOD工具能够记录并复制受感染主机的系统和联系人信息,某些特性与SPACESHIP相似,比如相同的编码过程和基于预配置模式搜索和归档文件的能力。与 SPACESHIP不同的是,FLASHFLOOD对插入的可移动驱动器进行扫描,搜过感兴趣的文件,然后将它们从移动驱动器复制到感染了FLASHFLOOD的计算机上。

跟踪APT30恶意软件的版本情况,可以发现该组织在活动中使用的恶意软件不断地增加新的功能,得以执行更为复杂的攻击。此外,威胁演员会观察后门程序的版本并具有自我更新的能力,确保活动中它们的目标运行的恶意软件是最新版本。此外,还需要注意的是,APT30组织尝试通过实施硬件检测来保护后门程序控制器软件,表明这些恶意软件是专为特定基础设施中的某类用户组而定制的。

技术矩阵

APT30恶意软件的能力,如下图所示:

APT档案之:记录APT28 和 APT30的公开披露

APT档案之:记录APT28 和 APT30的公开披露

相关资料

Guarnieri, C. (2015, June 19).

https://netzpolitik.org/2015/digital-attack-on-german-parliament-investigative-report-on-the-hack-of-the-left-party-infrastructure-in-bundestag/

Trend Micro. (2015, June 10).

https://blog.trendmicro.com/tv5-monde-russia-and-the-cybercaliphate/

Alperovitch, D. (2016, June 15)

https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/

FireEye, Inc. (2014). APT28: A Window int Russia’s CyberEspionageOperations?

https://www2.fireeye.com/rs/fireye/images/rpt-apt28.pdf

Fireeye Labs. (2015). APT30 and the mechanics of a long-running cyber espionage operation.

https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf

*文章来源:azeria-labs,转载请注明来自MottoIN

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/reports/104257.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code