觀察俄羅斯和烏克蘭之間持續不斷的衝突,我們可以清楚地看到,利用惡意軟件進行網絡攻擊是現代混合戰爭戰略的重要組成部分。常規戰爭是在戰場上進行的,受多種因素的限制,網絡戰爭在網絡空間繼續進行,為滲透和破壞遠遠落後於前線的目標提供了機會。自今年2月俄烏戰爭以來,俄羅斯一直在用網絡攻擊輔助針對烏克蘭的現實戰。
俄羅斯在2月份最初階段使用了網絡攻擊。Trustwave和其他安全研究人員的報告顯示,俄羅斯的網絡攻擊者一直在施加壓力,發起了一系列攻擊,顯示了惡意軟件是如何被用於破壞或控制烏克蘭的組織的目標系統的。
這篇文章總結了一些最突出的俄羅斯威脅參與者和用於對烏克蘭網絡攻擊的惡意軟件工具。
俄羅斯是烏克蘭恐怖襲擊的幕後黑手
儘管網絡攻擊的水平很高,技術也很複雜,俄羅斯特種部隊也有能力掩蓋蹤跡,但攻擊過後仍有一些痕跡存在,這無疑表明俄羅斯參與了當前對烏克蘭的攻擊。
正如愛沙尼亞外國情報局(Estonian Foreign Intelligence Service)和英國政府出版物發布的一份報告所提到的,我們可以清楚地發現,相關威脅組織與俄羅斯特種部隊之間存在某種聯繫:
APT28,也被稱為Cozy Bear或The Dukes,與俄羅斯對外情報局(SVR)有聯繫。
APT29,也被稱為Fancy Bear或Sofacy,追查到俄羅斯聯邦武裝部隊(前GRU) 26165部隊總參謀部。
SANDWORM,也被稱為黑色能源,與俄羅斯聯邦武裝部隊總參謀部(前GRU) 74455部隊有關。
「蜻蜓」又名「精力充沛的熊」或「臥伏的雪人」,被確認為俄羅斯聯邦安全局(FSB)第71330部隊。
GAMAREDON,也被稱為:原始熊,末日來臨,在11月追溯到俄羅斯聯邦安全局(FSB)2021,烏克蘭安全部門(SSU)成功地確認了GAMAREDON背後的人物與俄羅斯聯邦安全局(FSB)的關係。
其他積極參與的威脅行為者,如UNC2589,也被稱為Ember Bear或Lorec53,以及InvisiMole,都沒有表現出與俄羅斯特種部隊的明確聯繫。然而,正如ESET研究人員發表的,InvisiMole被發現使用了由Gamaredon操作的服務器基礎設施。
威脅行動者和俄羅斯特種部隊聯繫
攻擊和惡意軟件使用的時間軸
下面的時間軸說明了烏克蘭組織所承受的壓力,政府基礎設施是襲擊者的主要目標。使用的惡意軟件種類繁多,以及俄羅斯政府支持的威脅行為者的參與,很明顯地表明,針對攻擊者的成功保護措施不僅需要被動的,還需要主動的方法。
看看使用的惡意軟件的類型,我們可以根據攻擊者的目標區分兩種攻擊:
破壞性攻擊的目的是破壞數據,使目標系統無法操作。Viasat公司稱,2月24日,戰爭開始的那一天,針對Viasat公司KA-SAT網絡的網絡攻擊影響了烏克蘭的數千名客戶和歐洲各地的數萬名客戶。據路透社報道,德國超過5800個Enercon風力渦輪機受到這次攻擊的影響。據SSSCIP 4月8日報道,「沙蟲」組織襲擊了一家烏克蘭能源供應商。幸運的是,由於及時的響應,只有部分IT基礎設施受到影響,並避免了嚴重的電力中斷。
間諜攻擊旨在建立一個立足點,並從目標系統中竊取數據。在攻擊中使用的惡意軟件通常為攻擊者提供後門訪問,包括網絡攝像頭和麥克風捕捉,鍵盤記錄,以及下載和安裝額外組件的可能性。被竊取的數據包括操作系統信息、文檔、圖片和存儲在瀏覽器和其他軟件上的密碼。
針對烏克蘭的惡意軟件網絡攻擊
攻擊中使用的初始載體
下面的流程時間表說明了用於部署惡意軟件的初始攻擊載體。使用帶有惡意附件或鏈接的網絡釣魚來傳遞CobaltStrike和GraphSteel後門,或利用公共應用程序的漏洞,如Viasat網絡攻擊中被破壞的VPN設備,是一些最常用的入侵方法。雖然HermeticWiper、HermeticRansom和CaddyWiper的最初攻擊載體還不完全清楚,但至少有一家安全廠商報告說,攻擊者似乎利用了微軟SQL服務器的一個已知漏洞(CVE-2021-1636)。
HermeticWiper
這個Wiper惡意軟件被命名為「HermeticWiper」,基於從一家名為Hermetica數字有限公司竊取的數字證書。hermecwiper禁用卷影複製服務(VSS)負責數據備份和濫用來自EaseUS分區主的合法驅動程序以破壞數據。ESET指出,蜘蛛實驗室安全研究人員的分析也證實,清除器不僅會破壞主引導記錄(MBR)和卷引導記錄,還會通過碎片整理清除文件,使恢復變得不可能。值得一提的是,hermeticulous專門針對Windows註冊表文件ntuser.dat和Windows事件日誌,以儘量減少可用的取證工件的數量。最後,會觸發系統重啟,使目標主機無法操作。
有趣的是,「HermeticWiper」惡意軟件的編譯時間是2021年12月28日。這表明,2月份的襲擊至少從那時起就在準備之中。
APT組織:
Gamaredon (原始熊,末日來臨)
攻擊報道:
2022年2月23日:「HermeticWiper」被用於對烏克蘭知名組織的大規模網絡攻擊(來源:ESET)
IOCs:
•SHA256:0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da
HermeticRansom
HermeticRansom是用Go語言編寫的。正如CrowdStrike的分析所示,它列舉了可用的驅動器,收集了除Windows和Program Files文件夾之外的目錄和文件列表。選定的文件類別將使用勒索軟件操作員的電子郵件地址和.encryptedJB擴展名重新命名,然後使用AES算法對文件內容進行加密。勒索軟件還在桌面文件夾中創建了一個read_me.html文件,其中包含有攻擊者的聯繫方式的勒索說明。
加密方法相當繁瑣,並包含執行錯誤,使得加密的文件可以恢復。這一缺陷,加上在內部發現的政治信息和與HermeticWiper一致的部署時間,表明HermeticRansom很可能被用作分散注意力的工具,而不是勒索軟件的敲詐企圖。
APT組織:
Gamaredon (Primitive Bear, Armageddon)
攻擊報道:
•2022年2月23日:hermeticulous ransom用於對烏克蘭組織的網絡攻擊(來源:ESET)
IOCs:
SHA256: 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382
IsaacWiper
正如ESET的分析所指出的,IsaacWiper從代碼的角度來看與HermeticWiper完全不同,而且沒有那麼複雜。執行時,它列舉物理驅動器和卷,用隨機字節覆蓋現有內容。如果一個卷的訪問被拒絕,wiper會在這個目錄中創建一個臨時目錄和文件。創建的目錄名稱將以字母 "Tmd "開頭,文件以字母 "Tmf "開頭;名稱的其餘部分將是隨機生成的字母數字字符。然後,它將嘗試用隨機數據填充它,直到卷的空間用完。擦拭器還將它不能訪問的文件重命名為臨時名稱,然後試圖擦拭新重命名的文件。IsaacWiper創建了一個日誌文件C:\ProgramData\log.txt.其中保存了破壞活動的進度。
APT組織:
• Gamaredon (Primitive Bear, Armageddon)
攻擊報道:
2022年2月24日—ESET: IsaacWiper被用於對烏克蘭政府組織的網絡攻擊。(來源:ESET)
IOCs:
•SHA256:13037b749aa4b1eda538fda26d6ac41c8f7b1d02d83f47b0d187dd645154e033
AcidRain
正如SpiderLabs的分析所指出的,AcidRain在遞歸循環中用內存緩衝區中的隨機數據覆蓋文件和符號鏈接。如果wiper以root權限執行,則會避免使用某些目錄,如' bin '、' dev '、' lib '、' proc '、' sbin '、' sys '和' usr '。同樣的隨機數據緩衝區和寫操作用於擦除磁盤設備' /dev/sdX, '循環設備' /dev/loopX, '內存塊設備' /dev/block/mtdblockX '和多媒體卡塊設備' /dev/block/mmcblkX。'內存設備' /dev/mtdX '被使用MEMWRITEOOB ioctl來代替。擦拭完成後,會觸發設備重啟。
重建AcidRain的主要程序
2022年2月24日,戰爭開始的那一天,Viasat的KA-SAT網絡遭到網絡攻擊,影響了烏克蘭的數千名客戶和歐洲各地的數萬名客戶。這次攻擊的溢出導致德國5800台Enercon風力渦輪機的遙控失靈。據Viasat報道,攻擊者利用Skylogic的VPN設備遠程訪問KA-SAT的網絡管理網段。攻擊者橫向移動到一個特定的部分,用於操作網絡,並同時對大量的家用調製解調器執行合法的、有針對性的管理命令。具體來說,這些破壞性命令會覆蓋SurfBeam調製解調器閃存中的關鍵數據。
不久之後發現的AcidRain wiper,也是這種攻擊模式的一個合理選擇。在Reversemode博客中發表的對SurfBeam調製解調器固件的分析顯示,有可能安裝任意二進制文件,而不需要簽名驗證或完整的固件升級。此外,AcidRain的第一個Virustotal提交的樣本與事件調查的時間框架和Skylogic Mediterraneo基礎設施的位置一致。
第一份來自意大利的AcidRain樣品提交給VirusTotal
IOCs:
•SHA256:9b4dfaca873961174ba935fddaf696145afe7bbf5734509f95feb54f3584fd9a
LoadEdge ( InvisiMole )
CERT-UA分析表明,本次活動中使用的wLoadEdge後門支持文件執行、上傳、下載和刪除、獲取系統信息以及通過TCP端口1337交互反向shell等功能。
與C&C服務器的通信使用HTTP協議和JSON格式的數據,持久性由在Run註冊表項下創建條目的HTA文件提供。
根據ESET的研究報告得出的結論,LoadEdge類似於InvisiMole的TCP下載組件的升級版本,用於下載稱為RC2FM和RC2CL的後門模塊,通常作為第一個有效載荷部署在新受損的計算機上。InvisiMole的RC2FM和RC2CL後門程序提供了擴展的監控功能,如屏幕、網絡攝像頭和麥克風捕捉、文件泄露、收集網絡信息和已安裝軟件的信息。
APT組織:
• InvisiMole (UAC-0035 )
攻擊報道:
•2022年3月18日:LoadEdge被用於對烏克蘭政府組織的電子郵件釣魚攻擊(來源:CERT-UA)
IOCs:
•SHA256:fd72080eca622fa3d9573b43c86a770f7467f3354225118ab2634383bd7b42eb
GraphSteel & GrimPlant
GraphSteel和GrimPlant的後門都是用Go語言編寫的。正如BitDefender的報告所指出的,GrimPlant是一個簡單的後門程序,允許遠程執行PowerShell命令。與C2服務器的通信使用80端口,基於開源RPC框架gRPC。通信使用TLS加密,其證書用二進制硬編碼。GrimPlant每10秒發送一個包含基本主機信息消息的心跳。
使用PowerShell執行從C2服務器接收到的命令,並報告結果。GraphSteel後門旨在從受感染的機器中竊取數據。與C&C服務器的通信端口為443,使用AES加密。通信使用GraphQL查詢語言。文件從文檔,下載,圖片,桌面文件夾和所有可用的驅動器從D:\到Z:\。GraphSteel還可以竊取基本的系統信息、IP配置、wifi配置文件,並使用powershell從密碼庫竊取憑證。
APT組織:
• UNC2589 Ember Bear, Lorec53, UAC-0056)
攻擊報道:
•2022年4月26日:GraphSteel & GrimPlant被用於對烏克蘭政府組織的電子郵件釣魚攻擊(來源:烏克蘭)
•2022年3月28日:GraphSteel & GrimPlant被用於對烏克蘭政府組織的電子郵件釣魚攻擊(來源:烏克蘭)
•2022年3月11日:GraphSteel & GrimPlant被用於對烏克蘭政府組織的電子郵件釣魚攻擊(來源:烏克蘭)
IOCs for GraphSteel:
•SHA256:47a734e624dac47b9043606c8833001dde8f341d71f77129da2eade4e02b3878
•SHA256:8e77118d819681fdc49ce3362d8bfd8f51f8469353396be7113c5a8978a171f6
IOCs for GrimPlant:
•SHA256:aca731d34c3e99d07af79847db369409e92e387520e44285608f18877b3a1d79
DoubleZero
DoubleZero是一個。net雨刷惡意軟件。我們的分析表明,如果該計算機是域控制器,執行將立即停止,否則它將枚舉掛載到該計算機的所有驅動器,並使用零塊覆蓋文件,除了系統位置的特定硬編碼列表。然後,清除器繼續銷毀系統文件。最後,負責在系統上執行安全政策的「Isass」進程被終止,HKLM、HKCU和HKU註冊表的所有子鍵都被銷毀。一旦所有的破壞活動完成,刮水器將關閉系統。
攻擊報道:2022年3月22日:DoubleZero被用於對烏克蘭企業的網絡攻擊(來源:CERT-UA)
IOCs:
•SHA256:d897f07ae6f42de8f35e2b05f5ef5733d7ec599d5e786d3225e66ca605a48f53
CaddyWiper
正如Cisco Talos的顧問所指出的那樣,CaddyWiper可以動態地解決大多數用於提高檢測和分析難度的ap。如果機器是域控制器,CaddyWiper的執行將立即停止,否則惡意軟件將試圖銷毀「C:\Users」上的文件,隨後清除所有可用的驅動器從D:I到Z:1。這意味着連接到系統的任何網絡映射驅動器也可能被清除。它從文件開始擦除最多10MB的塊,這可能是性能優化的一部分。接下來,清理器試圖清除損壞主引導記錄(MBR)的每個物理驅動器和驅動器分區的擴展信息。
APT組織:
• Sandworm (Black Energy, UAC-0082)
攻擊報道:
•2022年3月14日:CaddyWiper被用於針對烏克蘭能源供應商的網絡攻擊(來源:CERT-UA)
•2022年3月14日:caddywipe被用於對烏克蘭組織的網絡攻擊(來源:ESET)
IOCs:
•SHA256:a294620543334a721a2ae8eaaf9680a0786f4b9a216d75b55cfd28f39e9430ea
AwfulShred, SoloShred
AwfulShred和SoloShred是惡意的shell腳本,旨在破壞Linux系統。我們的分析表明,這兩個腳本的破壞活動都依賴於一個帶有一次覆蓋傳遞的撕碎命令,選擇它來增加數據破壞。AwfulShred也是模糊的,它的功能有些複雜。在清除數據之前,它禁用並破壞Apache、HTTP和SSH服務,停用交換文件,並清除bash歷史記錄。最後,會觸發系統重新啟動,使目標主機無法操作。
APT組織:
• Sandworm (Black Energy, UAC-0082)
攻擊報道:
•2022年4月8日:AwfulShred和SoloShred被用於針對烏克蘭能源供應商的有針對性的網絡攻擊(來源:烏克蘭)
IOCs for AwfulShred:
•SHA256:bcdf0bd8142a4828c61e775686c9892d89893ed0f5093bdc70bde3e48d04ab99
IOCs for SoloShred:
•SHA256:87ca2b130a8ec91d0c9c0366b419a0fce3cb6a935523d900918e634564b88028
Industroyer2
industrier2是一款針對工業控制系統(ICS)的複雜惡意軟件。正如Nozomi Networks的分析所指出的,它特別濫用了電力控制系統中使用的IEC 60870-5-104 (IEC 104)協議。與它的前身Industroyer不同,industroer2是一個獨立的可執行文件,由一個後門、加載器和幾個負載模塊組成。它唯一的特點是通過中斷輸電變電站的運行造成電力中斷。
一旦執行,industryer2嘗試終止負責IEC 104服務通信的合法進程:PServiceControl.exe和PService_PPD.exe,然後通過添加"MZ"文件擴展名,並開始與輸電變電站進行IEC 104交互,中斷斷路器操作。變電站的IP地址和端口被發現是硬編碼的,這意味着攻擊者對他們的目標至少有有限的了解。
APT組織:
• Sandworm (Black Energy, UAC-0082)
攻擊報道:
•2022年4月8日:industrroyer2被用於針對烏克蘭能源供應商的有針對性的網絡攻擊(來源:CERT-UA)
IOCs:
•SHA256:c84bbfce14fdc65c6e738ce1196d40066c87e58f443e23266d3b9e542b8a583e
CredoMap
CredoMap是威脅行為者APT28使用的一個.NET憑證竊取器。CredoMap從Chrome、Edge和Firefox瀏覽器中竊取cookies和存儲密碼。根據不同的版本,被盜數據會通過電子郵件或HTTP POST請求滲出到網絡後端。
APT組織:
•APT28 (Fancy Bear, Sofacy, UAC-0028)
攻擊報道:
2022年4月11日:發現針對烏克蘭用戶的CredoMap惡意軟件(來源:谷歌TAG)
2022年5月6日:CredoMap被用於電子郵件釣魚攻擊(來源:CERT-UA)
2022年6月20日:CVE-2022-30190 (Follina)武器化RTF下載CredoMap惡意軟件發現(來源:CERT-UA)
IOCs:
•SHA256:710faabf217a5cd3431670558603a45edb1e01970f2a8710514c2cc3dd8c2424
DarkCrystal RAT
DarkCrystal RAT或DCRat是一個商業的俄羅斯。net後門,可以在地下論壇購買,主要用於監視受害者,並從受攻擊的主機竊取數據;DCRat支持監控使用屏幕和攝像頭捕獲,鍵盤記錄以及文件和憑證盜竊。其他有趣的功能包括使用註冊表的持久性、竊取剪貼板內容、命令執行和DOS攻擊功能。DCRat使用GET和POST請求通過HTTP與C2服務器通信。
DarkCrystal RAT(DCRat)出現在2019年初。在其運行期間,該RAT得到了很多追隨者和客戶。該惡意軟件因各種插件而廣為人知,包括偷竊器、隱藏遠程桌面、文件管理器和匿名操作(通過TOR代理)。該軟件以訂閱的方式分發:兩個月600盧布(約9.5美元),一年2500盧布(約39美元),終身訂閱將花費你4500盧布(約70美元)。
DCRat代碼至少從2021年3月開始在GitHub上提供。RAT的多功能性、其能力和低廉的價格使它如此受歡迎,甚至連政府附屬組織都選擇它進行操作。
攻擊報道:
2022年6月24日:DCRat被用於烏克蘭電信運營商的電子郵件釣魚攻擊(來源:CERT-UA).
2022年6月10日:Crescentlmp和DCRat被用於對烏克蘭媒體機構進行大規模電子郵件釣魚攻擊(來源:烏克蘭)
IOCs:
•SHA256:c84bbfce14fdc65c6e738ce1196d40066c87e58f443e23266d3b9e542b8a583e
Cobalt Strike
Cobalt Strike是一款商業滲透測試工具,允許攻擊者在目標機器上部署名為「Beacon」的後門代理。雖然它主要是為紅隊設計的,但它被廣泛的威脅行為者使用,從勒索軟件運營商到APT組下載和執行惡意載荷。Beacon植入是無文件的,因為它由無階段或多階段的殼代碼組成,這些殼代碼是通過利用漏洞或執行殼代碼加載器加載的。與C&C服務器的通信支持多種協議,包括HTTP、HTTPS、DNS、SMB、命名管道以及經過廣泛修改的正向和反向TCP。連接也可以通過鏈接信標來建立。一旦攻擊者獲得了對受損網絡內單個系統的訪問權,它就可以被用來在內部轉向其他系統。
APT組織:
• UNC2589 (Ember Bear, Lorec53, UAC-0056)
• Other
攻擊報道:
•2022年7月7日:Cobalt Strike被用於對烏克蘭政府組織進行電子郵件釣魚攻擊。un2589 APT攻擊(來源:CERT-UA)
•2022年7月5日:Cobalt Strike被用於對烏克蘭政府組織進行電子郵件釣魚攻擊。un2589 APT攻擊(來源:CERT-UA)
•2022年6月2日:Cobalt Strike,利用CVE-2021-40444和CVE-2022-30190 (Follina)漏洞對烏克蘭政府組織進行電子郵件釣魚攻擊(來源:CERT-UA)
•2022年4月18日:Cobalt Strike被用於對烏克蘭政府組織的電子郵件釣魚攻擊(來源:CERT-UA)
•2022年3月23日:Cobalt Strike被用於對烏克蘭政府組織的網絡攻擊(來源:CERT-UA)。un2589 APT攻擊(來源:CERT-UA)
結論
毫無疑問,先進的網絡武器是現代軍隊武器庫中的關鍵工具,未來全球網絡戰的數量可能會增加。
首先,隨着連接到網絡的設備數量不斷增加,攻擊面變得巨大,增加了網絡戰的潛在用例。
其次,網絡戰不受常規戰爭的領土限制,提供了滲透和破壞遠遠落後於前線目標的機會。
最後,與傳統戰爭相比,網絡戰是肉眼看不見的,不會給攻擊者帶來生命危險,而且具有成本效益。
隨着烏克蘭成為各種網絡攻擊的目標,我們可以看到,即使是合法的滲透測試工具也可能被劫持和用作武器。Cobalt Strike最初是為了訓練網絡防禦者而創建的,但在這場衝突中,攻擊者正在積極地濫用它。
保護和保護您的網絡
關鍵的基礎設施對現代社會的運轉至關重要,而且永遠是尋求金錢利益、政治或軍事優勢的攻擊者有利可圖的目標。了解在衝突中使用了哪些數字技術和工具,有助於在損害發生之前識別和減輕未來的威脅。
不幸的是,人通常是網絡安全鏈中最薄弱的一環,因為打開惡意附件或鏈接往往會導致妥協。有效的預防策略應該包括培訓計劃,確保員工能夠識別並減輕威脅,同時使用安全的電子郵件網關,如Trustwave MailMarshal、反惡意軟件和終端保護解決方案。
面向網絡的系統應該經常更新,使用防火牆解決方案進行保護,定期掃描漏洞,並審計系統完整性的更改。
Trustwave的研究人員正在不斷收集有關最新網絡攻擊的更多信息,幫助我們的客戶在這些動盪時期保持安全。
作者:帕維爾·納普奇克,安全研究經理
原文PDF及機器翻譯文檔已上傳知識星球
長按識別下面的二維碼可加入星球
裡面已有四千餘篇資料可供下載
越早加入越便宜
續費五折優惠
留言列表