日曜日威胁情报: 俄罗斯情报总局GRU,宁错杀不放过,浅谈近些年其APT攻击事件中的隐匿手段

释放双眼,带上耳机,听听看~!

一、

俄罗斯联邦军队总参谋部情报总局GRU,为了伪装自身不是国家活动,对自己的恶意软件使用了交付模式(像badrabbit勒索,其实就是为了搞破坏,还有构建VPNFILTER僵尸网络,这类特别容易让人认为是黑产团伙干的事情),以便让分析人员认为这是犯罪活动,而不是国家活动。


以便模糊网络空间中的国家和非国家活动之间的界限

       俄罗斯联邦军队总参谋部情报总局GRU,其前身可以追溯到1918年成立的苏维埃共和国野战参谋登记处,可谓俄罗斯历史最悠久的情报机构之一。在苏联时代,GRU一直是苏联红军旗下最核心的情报机构,与著名的克格勃(俄罗斯总统普京就曾是克格勃的特工)并驾齐驱。

目前已经公认的APT组织(含别名)隶属GRU的如下

  • APT 28

  • Fancy Bear

  • Sofacy

  • Pawnstorm

  • Sednit

  • CyberCaliphate

  • Cyber Berkut

  • Voodoo Bear

  • BlackEnergy Actors

  • STRONTIUM

  • Tsar Team

  • Sandworm

目前近年来涉及的重大APT组织攻击事件(如下表)均为GRU所为。

可以归咎为GRU攻击事件
2017年10月,BadRabbit勒索软件加密硬盘并使IT无法运行。这造成了破坏,包括基辅地铁,敖德萨机场,俄罗斯中央银行和两家俄罗斯媒体。
2016年8月,发布了与一些国际运动员有关的机密医疗档案。世界反兴奋剂组织公开表示,这些数据来自其反兴奋剂管理和管理系统。
2016年,民主党全国委员会(DNC)遭到黑客攻击,文件随后在网上发布。
2015年7月至8月期间,访问了属于英国一家小型电视台的多个电子邮件帐户,并且内容被盗。
2017年6月,一场针对乌克兰金融,能源和政府部门的破坏性网络攻击,但进一步影响了其他欧洲和俄罗斯企业。
2017年10月,VPNFILTER恶意软件感染了全球数千家家庭和小型企业路由器和网络设备。感染可能允许攻击者控制受感染的设备,使其无法操作并拦截或阻止网络流量。

下面是其中一些事件

        Bad Rabbit勒索软件事件,其加密硬盘并使IT无法运行。上个月出现了大多数关于Bad Rabbit的公开引用,并且它们还出现在英国国家网络安全中心(NCSC)的报告中,该报告指出它对乌克兰首都基辅的地下铁路系统以及敖德萨机场造成了破坏。

        Bad Rabbit通过虚假的Adobe Flash更新传播,诱使用户通过错误地警告用户他们的Flash播放器需要更新来点击恶意软件。一旦受害者的PC被感染并且用户数据被加密,Bad Rabbit就会重新启动系统并显示经典的勒索消息。一旦Bad Rabbit访问公司网络中的一台计算机,它就可以使用“永恒浪漫”漏洞利用工具包传播到网络中的其他计算机。漏洞利用工具包是一种侦察工具,可以扫描系统中的漏洞,以找出攻击者妥协的弱点。

        接下来是VPNFilter恶意软件,归功于俄罗斯国家赞助的组织APT28,由英国NCSC发布的联合技术警报,以及美国联邦调查局和美国国土安全部于4月份发布。VPNFilter恶意软件允许攻击者通过拦截通过易受攻击的路由器的流量来执行“中间人”攻击。它已经感染了全球成千上万的家庭和小型企业路由器以及网络设备。初始化后,它会从Photobucket.com(美国图像托管网站)下载图像,该图像可以在受感染设备与攻击者的命令和控制服务器之间建立连接。这允许在进一步的阶段增加恶意软件的恶意能力之前将恶意软件下载到受感染的设备上。

相关文章如下

俄罗斯黑客组织APT28使用VPNFilter感染了至少50万台路由器和Nas设备,FBI已将其控制

        X-Agent是APT28使用的远程访问工具,使攻击者能够提取文件和记录击键。APT28修改了一个名为CompuTrace的合法软件,为GRU提供了修改系统内存的能力。同时,X-Tunnel为APT28提供了到外部命令和控制服务器的安全隧道,攻击者可以从该服务器向受感染的网络和设备发送恶意命令。最后,Zebrocy是一个键盘记录器和上传文件的工具。其主要通过包含带有宏的恶意Microsoft Office文档的网络钓鱼攻击来投放。

      GRU一直在部署恶意软件,其中包含常用于网络犯罪活动的交付机制,这意味着,最近的网络攻击在最初容易被分析人员判断为犯罪行为(而非国家主导)。除此之外,俄罗斯组织已经成为GRU领导的网络攻击造成的附带损害的一部分,使归属变得更加复杂。

        未来,GRU可能会寻求将更多的恶意网络活动,并外包给有组织的犯罪分子,以便更加不容易被认为行动是国家所为。这就提出了一个问题,即执法机构在调查与网络有关的敌对国家活动中应扮演什么角色。国家和犯罪网络活动之间的模糊界限可能会使执法部门和安全部门如何合作调查,破坏和起诉恶意网络参与者产生混淆。

        仅靠归因不太可能阻止俄罗斯国家进行网络攻击。未来几年可能会发生类似风格的网络攻击,GRU将继续部署恶意软件并利用大规模感染受害者的工具包:包括感染俄罗斯公民。(为了不被抓到把柄也是拼了

        这类自动攻击可能会增加,同时成功感染更多的受害者,并为攻击者提供更大的匿名性。

所以很多事情通过这篇文章就可以想通了。真的是,宁愿错杀不放过。文章有bug。

二、

#APT攻击#   俄罗斯APT28 / Fancy Bear仍然以军事机构为目标

投放的宏文档为“ 北约模拟 ”事件(该文件的名称是“ NATO Simulation.doc ”)

释放的是SedUploader变种

相关链接:

https://www.emanueledelucia.net/apt28-targeting-military-institutions/

#银行木马#  BackSwap银行木马的历史渊源与现状分析

以前集中针对波兰银行,现在目标为西班牙银行

使用BMP图像进行恶意代码提取解密,图为某西班牙电影的剧照

相关链接:

https://research.checkpoint.com/the-evolution-of-backswap/

下期预告:

详细讲讲如何进行控制舆论导向。(也许又鸽了,内容其实在知识星球里面有)

最近我在知识星球废话越来越多了,想听我讲废话的赶紧进来吧,就一顿饭钱,少吃一顿饭,受益一整年,还在等什么,能拉到这里的人,我都觉得你们很优秀,祖国的未来,全靠你们了。还是那句话,早进早便宜。

另外有谁想去哪家单位面试的可以直接后台留言,我帮你们找人

写代码时候的歌曲分享专区

本文源自微信公众号:黑鸟

人已赞赏
安全工具

巴基斯坦情报部门称印度月中即将发动攻击,印方回应接受挑衅

2019-10-16 10:48:51

安全工具

ShaHmer行动: 疑似华X电脑公司遭受有针对性的供应链攻击

2019-10-16 10:48:59

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索