這些年，BlackTech網路間諜組織干過的事兒……

BlackTech是一個網路間諜組織，以東亞，特別是台灣，有時甚至還包括日本和香港的目標為主。根據其一些C＆C伺服器的互斥和域名，BlackTech的攻擊活動可能旨在竊取其攻擊目標的技術。

隨著他們的活動和不斷發展的戰術和技巧，趨勢科技的研究人員已經把近些年來看似不相關的三個網路攻擊活動PLEAD, Shrouded Crossbow和Waterbear聯繫在了一起。

研究人員分析了這幾種攻擊過程的方式，並解析了它們的使用工具，最終發現了共同點，也就是說PLEAD, Shrouded Crossbow和Waterbear實際上是由同一個組織操作的。

PLEAD

PLEAD攻擊活動執行的是信息盜竊活動，而且傾向於保密文件在PLEAD攻擊活動里，自2012年以來，已經針對台灣政府機構和私營機構進行了多次攻擊。 PLEAD的工具包包括自命名的PLEAD後門和DRIGO exfiltration工具。 PLEAD使用spear-phishing電子郵件來傳遞和安裝他們的後門，作為附件或通過鏈接到雲端存儲服務，用於交付PLEAD的一些雲存儲帳戶也被用作DRIGO偷走的exfiltrated文檔的離線點。

PLEAD的安裝程序偽裝成使用從右到左替代（RTLO）技術的文件來模糊惡意軟體的文件名。他們大多伴隨著誘餌文件，以進一步欺騙用戶。我們還看到PLEAD使用以下這些漏洞：

CVE-2015-5119，由Adobe於2015年7月修補CVE-2012-0158，由Microsoft於2012年4月修補CVE-2014-6352，2014年10月份由微軟修補CVE-2017-0199，由微軟於2017年4月修補

當獲得了Flash漏洞（CVE-2015-5119）時，PLEAD還會竊取其惡意軟體的臨時無文件版本,下圖顯示了PLEAD如何利用受損的路由器。

PLEAD的攻擊者使用路由器掃描儀工具掃描易受攻擊的路由器，之後攻擊者將啟用路由器的VPN功能，然後將設備註冊為虛擬伺服器。該虛擬伺服器將被用作將PLEAD惡意軟體傳遞到其目標的C＆C伺服器或HTTP伺服器。

PLEAD還使用CVE-2017-7269緩衝區溢出漏洞Microsoft Internet Information Services（IIS）6.0來破壞受害者的伺服器，這是他們建立新的C＆C或HTTP伺服器的另一種方式，下圖顯示了PLEAD攻擊者用於傳播其惡意軟體的方法之一

PLEAD的後門可以實現以下功能：

1.從瀏覽器和電子郵件客戶端（如Outlook）收集保存的憑據2.列出驅動器，進程，打開的窗口和文件3.打開遠程Shell4.上傳目標文件5.通過ShellExecute API執行應用程序6.刪除目標文件

PLEAD還使用了以文檔為目標的exfiltration工具DRIGO，它主要在受感染的機器上搜索文檔。 DRIGO的每個副本包含了與攻擊者使用的特定Gmail帳戶相關聯的刷新令牌，這些帳戶又連接到Google雲端硬碟帳戶。被盜的文件被上傳到這些Google驅動器，攻擊者可以在那裡看到它們。

Shrouded Crossbow

這個攻擊活動在2010年首次被觀察到，主要針對於政府有關的私人企業、政府承包商，以及來自消費電子、計算機、醫療保健、金融領域的企業展開攻擊，被認為是由一個資金充足的組織經營的，因為它似乎已經購買了BIFROST後門的源代碼，運營商增強並創建了其他工具。

Shrouded Crossbow使用三個基於BIFROST的後門，BIFROSE，KIVARS和XBOW。像PLEAD一樣，Shrouded Crossbow使用帶有後門裝載附件的釣魚郵件，利用RTLO技術並附帶誘餌文件。

BIFROSE通過Tor協議與其C＆C伺服器進行溝通而逃避檢測，還具有針對基於UNIX的操作系統的版本，通常用於伺服器，工作站和移動設備。 KIVARS的功能比BIFROSE少，但其模塊化結構使其更易於維護。 KIVARS使攻擊者能夠下載並執行文件，列出驅動器，卸載惡意軟體服務，截取屏幕截圖，激活或禁用鍵盤記錄器，顯示或隱藏活動窗口，以及觸發滑鼠點擊和鍵盤輸入。64位版本的KIVARS也出現了，以跟上64位系統的普及。XBOW的功能來自BIFROSE和KIVARS，Shrouded Crossbow會從其獨特的互斥體格式獲取其名稱。

Waterbear

Waterbear實際上已經運行了很長時間，該攻擊活動系列的名稱是基於其惡意軟體遠程配備附加功能的能力，屬於廣告系列的惡意軟體。

Waterbear同樣採用了模塊化的方式來處理其惡意軟體，載入程序組件可執行文件將連接到C＆C伺服器以下載主後門並將其載入到內存中。此惡意軟體的更新版本出現並使用修補伺服器應用程序作為其載入程序組件，而後門從加密文件載入或從C＆C伺服器下載。

後來採取的攻擊策略是事先了解其目標的運行環境，這種變化很可能是攻擊者使用Waterbear作為次要有效載荷，以便在達到目標系統在一定程度的訪問後維持其存在。

BlackTech浮出水面

基於使用相同的C＆C伺服器，攻擊活動的方法，以及工具，技術和目標的相似之處，趨勢科技的研究人員得出結論，這三個活動都是由同一組織運營的，而且該組織的運營是資金充足。雖然看上去大多數攻擊活動的攻擊是單獨進行的，但連起來看，這些分階段的攻擊行為就是一個完整的聯合行動。

使用相同的C＆C伺服器

在這三種攻擊活動的情況下，我們發現廣告系列的惡意軟體會與相同的C＆C伺服器進行通信。在有針對性的攻擊中，C＆C伺服器通常會與其他組共享。以下是我們發現的一些由廣告系列共享的C＆C伺服器：

此外， IP 211[.]72 [.]242[.]120是域 microsoftmse[.]com的主機之一，已被幾種KIVARS變體使用。

協同攻擊

我們還發現在同一目標上使用後門的事件，儘管有其他的團體可能會發動類似的攻擊，但我們可以解釋這幾個活動至少是協同工作的，下圖就是PLEAD和KIVARS攻擊相同目標的事件。

下圖是同一目標上使用PLEAD，KIVARS和Waterbear的事件。

工具和技術之間的相似之處

例如，PLEAD和KIVARS分享使用RTLO技術將其安裝程序偽裝成文檔。兩者都使用誘餌文件使RTLO攻擊更具誘騙性。另一個相似之處是使用小型載入器組件將加密後門放在內存中。

類似的攻擊目標

這些攻擊活動的目標都是從受害者身上偷取重要的文件，他們攻擊的初始目標並不總是他們的主要目標。例如，我們看到幾個被攻擊者盜竊的誘餌文件，然後用於另一個目標。這表明文件竊取最有可能是針對與預期目標相關的受害者攻擊鏈的第一階段。雖然PLEAD和KIVARS最有可能用於第一階段攻擊，但Waterbear可以被視為在攻擊者獲得一定特權後安裝的輔助後門。

根據這些攻擊活動所竊取的文件類型，我們可以更清楚地了解他們的目標和攻擊，他們的傳播活動的目的以及發生的時間。以下是被盜文件的一些類別或標籤。

對BlackTech組織實施攻擊的防禦

目前KIVARS，Shrouded Crossbow正在瘋狂地進行攻擊活動，所以IT 或系統管理員和信息安全專業人員可以考慮制定一個清單，了解網路中出現任何可能表示入侵的異常和可疑行為的跡象。

我們建議採用的最佳做法就是採用多層次的安全機制和針對目標攻擊的策略，比如網路流量分析，防火牆、入侵檢測以及預防系統的部署，網路分段並對數據分類存儲。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！