当前位置:安全资讯 >> 全文

一个简单粗暴如 SneakyPastes,一个高深莫测如 TajMahal APT,藏身数年无人知

发布时间:2019-4-12 21:47 标签: APT,恶意软件
分享到 0

卡巴斯基实验室的研究人员在新加坡举行的安全分析师峰会 (SAS) 上披露了一个新型的极为复杂的 APT 框架 TajMahal。数年来一直在攻击某中亚地区的外交实体。其样本使用了复杂的闻所未闻的代码库,使其极其难以被检测到。

庞大的工具集

卡巴斯基实验室的研究人员在2018年年末发现了 TajMahal,它至少活跃于20148月。

TajMahal 的复杂性表现在两方面。犯罪分子创建了共包含80个恶意模块的两个数据包,一个是“Tokyo(中文意思:东京)”,一个是“Yokohama(中文意思:横滨)”。研究人员指出,这是他们迄今为止见过的包含最多数量插件的 APT 工具集。

这些工具集包括后门、加载程序、协调器、C2通信、音频记录器、键盘记录器、屏幕和摄像头抓取器、文档和加密密钥窃取器,甚至还包括用于整理目标机器数据的文件索引器。

TajMahal 的其中一个耐人寻味的功能是,它能够从可删除存储设备如 USB 设备中窃取文档。它首先识别存储在外部驱动上的文件,之后仅提取驱动上的目标文件。

卡巴斯基实验室并未透露遭攻击的这个中亚外交实体的具体名称,并表示可能存在尚未被发现的其它受害者。

卡巴斯基实验室首席恶意软件分析师 Alexey Shulmin表示,TajMahal 复杂的通信协议匹配其深不可测的插件弹药库。它具有紧急和常规两种类型的命令和控制服务器。紧急服务器用于通过更改紧急域名的 IP 地址,向 APT 传播紧急命令(自我卸载、自我恢复、使用常规的 C&C 或保留不活跃的模式)。

TajMahal 命名源自攻击者为渗透数据而给出的一个 XML 文件名称。它和在老旧 Turla 威胁组织样本中的操作 TadjMakhal 的引用类似。Shulmin 还指出,这个唯一被知晓的受害者似乎还遭到了和 APT 组织 Sofacy 相关的攻击,但未果。

过人的隐秘性

TajMahal 的第二个复杂之处还表现在其隐秘性上。该框架的开发人员竭尽全力确保其不被检测到。其中一个主要的方法就是使用了一个全新的代码库。

Shulmin 指出,“一般而言,要创建一个 APT 需要耗费巨大资源,而这也是开发人员为何尝试在新项目中使用此前用过的代码的原因,目的是降低创建 APT 的成本。”然而,复用代码同时也让 APT 更容易地被检测到。在 TajMahal 案例中,它使用了全新的代码库,使其难以被检测到。

另外,该 APT 还使用了行为检测规避方法,包括在目标尝试删除感染时,将服务的名称随机化。删除感染时,它会在重启后变为新名称以及另外一种启动类型。

目前,研究人员尚不知晓 TajMahal 的全部信息,比如目标是如何遭感染的。不过有一点是清楚的:它被曝光后,攻击者将不得不从零开始。

简单粗暴直接的SneakyPastes

卡巴斯基实验室还在大会上公布了一个攻击遍布于39个国家240个高级别受害者的网络间谍 APT组织 Gaza Cybergang(“加沙网络犯罪组织”)。这些受害者都是在去年遭受攻击,遍布政治、外交、媒体和活动家实体。这些受害者的共同之处是:他们都对中东政治感兴趣。

研究人员披露称,加沙网络犯罪组织讲阿拉伯语,是受政治利益驱动的犯罪组织,主要攻击中东和北非地区,尤其是巴勒斯坦地区。卡巴斯基实验室至少识别出该组织中的三个犯罪团伙。它们的动机和目标类似:实施和中东政治利益相关的网络间谍行动但使用完全不同的工具、技术和复杂性。它们之间存在共享和重叠之处。它们的复杂程度也各不相同:有较复杂的“Operation Parliament (议会行动)”组织和“Desert Falcons(猎鹰队沙漠)”组织,也有不太复杂的但始于2012年的 MoleRats 组织。

研究人员将该犯罪组织发动的攻击活动称为“SneakyPastes”,它始于去年春天,使用了一次性邮件地址通过政治主题的钓鱼信息传播感染。这些邮件含有恶意链接或附件。为了避免被检测到 C2 的位置,SneakyPastes 还使用了低成本但行之有效的方法:使用多个免费站点如 Pastebin Github 来下载间谍软件,它通常通过这类“粘贴 (paste)”站点将恶意软件“偷偷 (sneak)”放到目标计算机中。它通过使用 PowerShellVBSJSdotnet 来确保在受感染系统中的弹性和可持续性。入侵的最后一个阶段是远程访问木马,它和C2服务器通信之后收集、压缩、加密并上传一系列被盗文档。

SneakyPastes最活跃的时段集中在20184月至11月期间,多数受害者位于巴勒斯坦地区(211名受害者),其余位于约旦、以色列和黎巴嫩。受攻击的目标主要是政党组织、政客以及研究中心。分析指出,执法部门已经拿下该攻击基础设施的重大部分,但 SneakyPastes 带来的危险远未结束。后续这几个团伙或将攻击延伸至和巴勒斯坦问题相关联的其它区域。

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://threatpost.com/sas-2019-gaza-cybergang-blends-sophistication-levels-in-highly-effective-spy-effort/143546/
参与讨论,请先 登录 | 注册

用户评论