GreyEnergy–进攻乌克兰、波兰

      在过去三年中,ESET安全研究人员一直在跟踪BlackEnergy网络间谍组织。发现GreyEnergy与BlackEnergy有很强的关联。报告在这里

BlackEnergy至少自2007年以来一直存在,但在2015年12月引起乌克兰重大停电时上升至突出位置。ESET研究称GreyEnergy的新记录组大约在同一时间出现,BlackEnergy威胁组织有两个独立的组,即TeleBots和GreyEnergy。前者的重点是通过计算机网络攻击(CNA)行动对乌克兰发起网络破坏攻击。

    ESET观察到GreyEnergy参与针对乌克兰和波兰实体的攻击,但主要集中在网络间谍和侦察。该组织目标主要针对能源部门,交通运输和其他高价值目标。

GreyEnergy恶意软件具有模块化体系结构,这意味着其功能取决于运营商选择部署的模块。然而,这些模块包括后门,文件提取,屏幕截图捕获,键盘记录,密码和凭证窃取以及其他功能

GreyEnergy恶意软件具有模块化体系结构,这意味着其功能取决于选择部署的模块。这些模块包括后门,文件提取,屏幕截图捕获,键盘记录,密码和凭证窃取以及其他功能。

“我们没有观察到任何专门针对工业控制系统软件或设备的模块。然而,我们观察到GreyEnergy运营商一直在战略性地瞄准运行SCADA软件和服务器的ICS控制工作站,“ESET高级安全研究员称。

GreyEnergy样本使用了可能从台湾公司Advantech窃取的有效数字证书。

 

攻击者通过托管Web服务或带有恶意附件的鱼叉式网络钓鱼电子邮件来定位目标。

攻击者还会向可从Internet访问的受感染Web服务器部署其他后门。黑客喜欢PHP后门,并使用多层混淆和加密来隐藏恶意代码。

鱼叉式网络钓鱼电子邮件的附件首先会放弃一个轻量级的第一阶段后门,称为GreyEnergy mini(也称为FELIXROOT),并使用Nmap和Mimikatz等工具收集管理员凭据。

收集的凭据随后用于部署主要的GreyEnergy恶意软件,这需要管理员权限。后门部署在具有高正常运行时间的服务器上,以及用于控制ICS环境的工作站。其他软件(部署在内部服务器上的代理)用于尽可能悄悄地与命令和控制(C&C)服务器通信。

使用Visual Studio编写、编译时,GreyEnergy恶意软件通常以两种模式部署:仅内存模式,不需要持久性时,以及使用服务DLL持久性,以便在系统重新启动后继续使用。在这两种情况下,恶意软件的功能都是相同的。

研究人员观察到的GreyEnergy模块旨在将PE二进制文件注入远程进程; 收集有关系统和事件日志的信息; 执行文件系统操作; 抓住截图; 收获关键; 收集各种应用程序保存的密码; 使用Mimikatz窃取Windows凭据; 使用Plink创建SSH隧道; 并使用3proxy创建代理。

恶意软件在活动时利用Tor中继软件,C&C基础设施设置类似于BlackEnergy,TeleBots和Industroyer。此外,GreyEnergy和BlackEnergy具有类似的设计和类似的模块和功能集,尽管它们的实现方式不同。

此外,ESET研究人员发现了一种似乎是NotPetya的前身的蠕虫,他们称之为Moonraker Petya。恶意软件包含使计算机无法启动的代码,它针对少数组织进行部署,并且传播功能有限。

Moonraker Petya展示了TeleBots和GreyEnergy之间的合作,或者至少表明他们正在分享一些想法和代码。两者之间的主要区别在于TeleBots专注于乌克兰,而GreyEnergy也在该国境外运营。

IOC看报告吧,报告内容更加丰富。

https://www.welivesecurity.com/wp-content/uploads/2018/10/ESET_GreyEnergy.pdf

发表评论

电子邮件地址不会被公开。 必填项已用*标注