安全公司FireEye近日表示,他们自今年年初以来就一直在追踪针对全球国防、政府及海军,尤其是与南中国海问题有关的黑客攻击事件。在追踪的过程中,他们发现黑客组织TEMP.Periscope再次回归,并在攻击活动中使用了更多以及更新的工具。
TEMP.Periscope ,也被称为“Leviathan”。据相关资料显示, 该组织自2013年以来就一直处于活跃状态,主要活动的区域集中在美国、西欧与中国南海等国家地区。该组织曾在2015 年2月到10月期间入侵了中国南海地区工控系统。与此同时,菲律宾司法部门、亚太经合组织组织及国际律师事务所也在此期间遭受了来自该组织的不同程度的攻击。
另有报道称,该组织在去年9月针对一家美国造船公司和一所与军队相关的美国大学研究中心发起了网络钓鱼攻击,旨在窃取国家机密信息。
FireEye公司在本周五发表的博客文章中对该组织所使用的恶意软件库以及TTP(战术Tactics、技术Techniques和程序Procedures)进行了较为详细的介绍,我们将在下文为大家逐一呈现。
Leviathan在最近活动中使用的恶意软件库,这些工具包括:
后门工具
AIRBREAK:一个基于JavaScript的后门程序,也被报告为“Orz”。可以从隐藏在受感染网页中的字符串以及受攻击者控制的合法服务配置文件获取命令。
BADFLICK:一种可以修改文件系统、生成一个反向shell并修改其命令和控制(C&C)配置的后门程序。
PHOTO:一个DLL后门程序,也被报告为“Derusbi”。具备多种功能:能够获取目录、文件和驱动器列表;创造一个反向壳;执行屏幕截图; 录制视频和音频;列出、终止和创建流程; 枚举、启动和删除注册表项和值;记录击键,从受保护存储返回用户名和密码;重命名、删除、复制、移动、读取和写入文件。
密码破解工具
HOMEFRY:一个64位的Windows密码破解器,它曾与AIRBREAK和BADFLICK后门一起使用,部分字符串使用了XOR x56进行模糊处理。该恶意软件接受命令行上的两个参数:一个用于显示每个登录会话的cleartext凭证,另一个在每个登录会话中显示cleartext凭证、NTLM 哈希和恶意软件版本。
上传工具
LUNCHMONEY:可以将文件上传到Dropbox(一种在线存储服务)的上传器。
侦察工具
MURKYTOP:命令行侦察工具,具备多种功能:以不同的用户身份执行文件;在本地移动和删除文件;调度远程AT作业;在连接的网络上执行主机查找;扫描连网主机上的开放端口;检索关于远程主机上的操作系统、用户、组和共享的信息。
代码注入工具
China Chopper:一个简单的代码注入webshell,在HTTP POST命令中执行Microsoft .NET代码。这允许shell上传和下载文件、使用Web服务器帐户权限执行应用程序、列出目录内容、访问活动目录、访问数据库以及.NET运行时允许的任何其他操作。
以下是Leviathan曾使用过两款工具,在最近的活动中未出现,但仍可能被再次使用,这两款工具分别是:
Beacon:作为Cobalt Strike软件平台的一部分,一个商业化的后门,常用于测试网络环境。该恶意软件支持多种功能,如注入和执行任意代码、上传和下载文件以及执行shell命令。
BLACKCOFFEE:一种后门程序,能够将通信混淆为与Github和微软Technet门户等合法网站的正常流量。
以下是Leviathan使用的其他一些TTP,这包括:
- 鱼叉式网络钓鱼,包括使用可能被盗用的电子邮件帐户;
- 使用CVE-2017-11882诱饵文件安装恶意软件;
- 用于签名恶意软件的被盗代码签名证书;
- 使用bitsadmin.exe下载其他工具;
- 使用PowerShell下载其他工具;
- 使用C:\Windows\Debug和C:\ Perflogs作为暂存目录;
- 利用Hyperhost VPS和Proton VPN出口节点,在面向互联网的系统上访问webshell;
- 使用Windows管理工具(WMI)建立持久性;
- 在启动Windows脚本主机(wscript.exe)的Startup文件夹中使用Windows快捷方式文件(.lnk)执行一个Jscript后门以实现持久性;
- 从合法网站或者论坛(如Github和Microsoft TechNet门户网站)上收集某些用户创建的配置文件中的C2指令。
FireEye表示,自2013年以来,TEMP.Periscope虽然主要专注与将与海事相关的多个垂直领域作为攻击目标,这包括工程公司、航运、制造、国防、政府机关、高校和研究型机构。但研究表明,该组织还针对了专业服务和咨询服务、高科技产业、医疗保健和媒体和出版社。
另外,已经被确认的受害者组织虽然主要集中美国,但一些欧洲组织和中国组织也同样受到了其影响。值得指出的是,从该组织最近所进行的活动以及所使用的工具来看,该组织并没有远离“战场”,甚至正在通过升级其恶意软件库以扩大攻击规模和提高攻击成功率。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。