APT组织BlackEnergy继任者:GreyEnergy,台湾研华公司证书被其盗取

释放双眼,带上耳机,听听看~!

相关链接(点击阅读原文即可):

https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/

PDF下载:

https://www.welivesecurity.com/wp-content/uploads/2018/10/ESET_GreyEnergy.pdf

IOC列表文件下载

https://github.com/eset/malware-ioc/tree/master/greyenergy

关键句:

GreyEnergy,BlackEnergy APT小组的继任者,

BlackEnergy组织的攻击踪影最后一次出现在2015年12月的第一次因网络攻击造成的停电期间。这起事件导致大约有230,000人断电。

此后,出现了另一个恶意软件框架GreyEnergy。在过去的三年里,GreyEnergy一直被用来攻击乌克兰和波兰的能源公司和其他高价值目标。

GreyEnergy的恶意软件框架与BlackEnergy有许多相似之处,各模块均通过组织确认进行上传,其中模块都用于间谍和侦察目的(即后门,文件提取,截屏,键盘记录,密码和凭证窃取等)。

GreyEnergy组织一直在战略性地瞄准运行SCADA软件和服务器的ICS控制工作站,这些工作站往往是关键任务系统,除了定期维护之外从来不会进入脱机状态。

该组织还是有与我国相关:

一些GreyEnergy样本是使用台湾工业和物联网硬件制造商  研华 的证书签署的。这些很可能从该公司窃取而来,就像Stuxnet[https://www.welivesecurity.com/2010/07/19/win32stuxnet-signed-binaries/]台湾D-Link&全景安全公司证书被盗,且被APT组织blacktech利用案例一样。

Serial Number: 15:f4:8f:98:c5:79:41:00:6f:4c:9a:63:9b:f3:c1:cc Validity: Not Before: Feb 10 00:00:00 2014 GMT Not After : Feb 26 23:59:59 2017 GMT SHA1 Fingerprint=97:53:AD:54:DF:6B:D6:73:E0:6C:00:36:3D:34:6A:06:00:7A:0A:9B

这几个恶意框架的联系与时间线,还是比较概括的。

以下为几点认为GreyEnergy和BlackEnergy存在关联的原因

1、GreyEnergy在野外的出现恰逢BlackEnergy的消失。

2、至少有一个受GreyEnergy攻击的受害者过去曾被BlackEnergy瞄准。两个小组都对能源部门和关键基础设施感兴趣。两人都有受害者,主要是在乌克兰,波兰排名第二。

3、恶意软件框架之间存在强烈的架构相似性。两者都是模块化的,并且在获得管理员权限并部署完整版之前,都使用了迷你或轻型后门。

4、GreyEnergy恶意软件使用的所有远程C&C服务器都是活动的Tor中继节点。BlackEnergy和Industroyer也是如此。可以说明是该大组织的一大统一隐蔽手段。如下图,整个攻击链条和C&C服务器配置。

从公布的样本种类大概可以确认GreyEnergy的攻击手段

鱼叉:

GreyEnergy document

宏下载

GreyEnergy mini

GreyEnergy droppers

GreyEnergy dropped DLLs

GreyEnergy in-memory-only DLLs

这里指的是petya的早期没有永恒之蓝扩散模块的代码与GreyEnergy存在代码重叠

Moonraker Petya,这个版本重启后是这样的。

WEB服务器后门

PHP and ASP scripts

横向移动手段

Mimikatz

WinExe

PsExec

Nmap

Custom port scanner

GreyEnergy的http通信报文特征,其他大部分为https通信。

该恶意软件仅将选定的模块推送到选定的目标,一些GreyEnergy模块使用AES-256进行部分加密,有些仅在内存中运行。为了掩盖他们的踪迹,GreyEnergy通常会从受害者的硬盘驱动器中安全地擦除恶意软件组件。

最后,可以确认的是,TeleBots和GreyEnergy两个APT组织之间存在交流与合作。

本文源自微信公众号:黑鸟

人已赞赏
安全工具

BITTER(蔓灵花)针对巴基斯坦和沙特阿拉伯发起了一波攻击

2019-10-16 10:37:11

安全工具

APT组织RANCOR最新活动分析,PLAINTEE&DDKONG

2019-10-16 10:37:18

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索