首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

APT组织BlackEnergy继任者:GreyEnergy,台湾研华公司证书被其盗取

https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/

PDF下载:

https://www.welivesecurity.com/wp-content/uploads/2018/10/ESET_GreyEnergy.pdf

IOC列表文件下载

https://github.com/eset/malware-ioc/tree/master/greyenergy

关键句:

GreyEnergy,BlackEnergy APT小组的继任者,

BlackEnergy组织的攻击踪影最后一次出现在2015年12月的第一次因网络攻击造成的停电期间。这起事件导致大约有230,000人断电。

此后,出现了另一个恶意软件框架GreyEnergy。在过去的三年里,GreyEnergy一直被用来攻击乌克兰和波兰的能源公司和其他高价值目标。

GreyEnergy的恶意软件框架与BlackEnergy有许多相似之处,各模块均通过组织确认进行上传,其中模块都用于间谍和侦察目的(即后门,文件提取,截屏,键盘记录,密码和凭证窃取等)。

GreyEnergy组织一直在战略性地瞄准运行SCADA软件和服务器的ICS控制工作站,这些工作站往往是关键任务系统,除了定期维护之外从来不会进入脱机状态。

该组织还是有与我国相关:

一些GreyEnergy样本是使用中国台湾工业和物联网硬件制造商 研华 的证书签署的。这些很可能从该公司窃取而来,就像Stuxnet[https://www.welivesecurity.com/2010/07/19/win32stuxnet-signed-binaries/]和中国台湾D-Link&全景安全公司证书被盗,且被APT组织blacktech利用案例一样。

Serial Number: 15:f4:8f:98:c5:79:41:00:6f:4c:9a:63:9b:f3:c1:ccValidity: Not Before: Feb 10 00:00:00 2014 GMT Not After : Feb 26 23:59:59 2017 GMTSHA1 Fingerprint=97:53:AD:54:DF:6B:D6:73:E0:6C:00:36:3D:34:6A:06:00:7A:0A:9B

这几个恶意框架的联系与时间线,还是比较概括的。

以下为几点认为GreyEnergy和BlackEnergy存在关联的原因

1、GreyEnergy在野外的出现恰逢BlackEnergy的消失。

2、至少有一个受GreyEnergy攻击的受害者过去曾被BlackEnergy瞄准。两个小组都对能源部门和关键基础设施感兴趣。两人都有受害者,主要是在乌克兰,波兰排名第二。

3、恶意软件框架之间存在强烈的架构相似性。两者都是模块化的,并且在获得管理员权限并部署完整版之前,都使用了迷你或轻型后门。

4、GreyEnergy恶意软件使用的所有远程C&C服务器都是活动的Tor中继节点。BlackEnergy和Industroyer也是如此。可以说明是该大组织的一大统一隐蔽手段。如下图,整个攻击链条和C&C服务器配置。

从公布的样本种类大概可以确认GreyEnergy的攻击手段

鱼叉:

GreyEnergy document

宏下载

GreyEnergy mini

GreyEnergy droppers

GreyEnergy dropped DLLs

GreyEnergy in-memory-only DLLs

这里指的是petya的早期没有永恒之蓝扩散模块的代码与GreyEnergy存在代码重叠

Moonraker Petya,这个版本重启后是这样的。

WEB服务器后门

PHP and ASP scripts

横向移动手段

Mimikatz

WinExe

PsExec

Nmap

Custom port scanner

GreyEnergy的http通信报文特征,其他大部分为https通信。

该恶意软件仅将选定的模块推送到选定的目标,一些GreyEnergy模块使用AES-256进行部分加密,有些仅在内存中运行。为了掩盖他们的踪迹,GreyEnergy通常会从受害者的硬盘驱动器中安全地擦除恶意软件组件。

最后,可以确认的是,TeleBots和GreyEnergy两个APT组织之间存在交流与合作。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181017G2CKX200?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券