安全公司 Nyotron 表示,和伊朗之间存在关联的网络间谍组织 OilRig 在最近实施的攻击中一直都在使用新型恶意软件和数据渗透技术。
OilRig 组织简介
OilRig 活跃于2015年,主要针对美国和中东的金融和政府组织机构。该组织一直都在使用多种攻击工具,快速使用新的利用代码并在最近的攻击活动中转向对新型木马的使用。
Nyotron 公司目前表示,OilRig 组织已在最近的攻击活动中使用了约20种不同的工具,包括现成可用、军民两用的工具以及之前未出现过的恶意软件。除了渗透数据外,该组织还一直专注于绕过网络级别的安全产品以在目标环境中站稳脚跟。
不断通过新手段攻击中东地区
自从2017年11月开始,OilRig 组织就已经通过演进的战术、技术和程序 (TTPs) 攻击位于中东地区的多种组织机构,包括滥用 Google Drive 和 SmartFile 作为命令和控制服务器。
攻陷目标网络后(可能通过钓鱼邮件窃取登录凭证),OilRig 从公共文件共享服务如 Dropbox、Degoo、Files.fm 和 File.ac 以及受攻击者控制的服务器中下载必要工具。
黑客使用 Windows 共享将工具转移到不具备互联网连接或下载遭防火墙拦截的端点。他们还使用 web shell 上传并在受攻陷服务器上执行文件。
对于攻击而言,黑客构建了一个复杂的远程访问木马,将 Google Drive 用作命令和服务控制器并被以名为 “Service.exe” 的文件形式部署在目标系统中。这款恶意软件注册为一种服务以实现持续性目的,从 Google Drive 上的攻击者账户接受命令并向其发送文件。
由于 VirusTotal 上的反病毒程序均未能检测到这个远程访问木马,因此多家组织机构似乎均遭攻陷。用于控制恶意软件的账户创建于2015年8月,但直到最近才得以使用。
这次攻击活动中使用的另外一款工具是 SmartFile.exe,它包含应该是从 GitHub 仓库中拿走的功能,但又具备扩展功能。这款工具将 SmartFile 作为命令和控制服务器并能够下载并将文件上传至文件共享服务,此外还能执行所接收到的命令。
除了这些工具外,攻击者还利用运行使用 Autolt 的 PowerShell 脚本的预定任务获得对目标系统的持续性访问。研究人员表示所分析的代码几乎和 OilRig 在2016年一次攻击中所使用的代码一模一样。
安全研究人员还发现了攻击者用于在互联网信息服务 Web 服务器上获取持续性的两个主要的 .aspx 文件。其中一个文件可导致攻击者将文件上传至系统并被自定义以满足每个服务器的文件夹路径。攻击者使用一个 web shell 通过 cmd.exe 在遭感染机器上执行任意命令。
OilRig 黑客组织使用一个恶意互联网信息服务 ISAPI 过滤器秘密地在受攻陷机器上执行命令,同时将 Myrtille 部署到受感染机器上(该工具提供访问远程桌面和应用的权限),但尚未使用该工具。另外,他们还部署了一个 Meterpreter payload 即 rpc.exe 以获取持续性和支持多种命令。
对于受攻陷环境中的权限提升,攻击者主要使用了 Mimikatz 的变体,但同时试图使用 ProcDump 泄露 lsass.exe 进程内存。
对于互联网侦察而言,攻击者使用合法工具和特别构造的工具,包括使用端口扫描器 (PS) 来扫描互联网网络和外部地址,通过 NBTScan 来扫描本地或远程 TCP/IP 网络上开放的 NETBIOS 名称服务器,以及使用一款工具扫描“永恒之蓝”利用(源于一个 GitHub 仓库并通过 Pyinstaller 转换为一个可执行文件)。
攻击者主要通过使用“永恒之蓝利用代码”在受攻陷网络中进行横向移动。这些利用代码很可能也源自 GitHub,并通过 PyInstaller 将 Python 文件转换为可执行文件。PsExec 还被用于在远程主机上启动任意命令。
敲响安全警钟
Nyotron 公司的创始人兼首席技术官 Nir Gaist 表示,“国家黑客和先进的黑客组织仍在寻找增强此前成功攻击的新方法。OilRig 黑客组织最近取得的发展提醒我们,安全主管们需要通过纵深防御措施抵制采用下一代工具和技术,从而加强对端点的保护措施。”
本文由360代码卫士翻译自SecurityWeek
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
