本站专注区块链信息及金融服务,但不代表任何投资建议

新的GreyEnergy恶意软件针对ICS,与BlackEnergy和TeleBots捆绑在一起

曲速未来安全区 ·

2018年10月18日

热度: 13071

揭示臭名昭着的BlackEnergy APT小组的继任者,该小组针对关键基础设施,很可能为破坏性攻击做准备。


区块链安全咨询公司 曲速未来 消息:一个新的高级威胁行动者现在在敌人的公共地图上,目标是关键基础设施部门的系统。名称是GreyEnergy,它显示与BlackEnergy组的相似之处。

GreyEnergy恶意软件目前没有破坏性功能,它似乎专注于运行SCADA软件?#22836;?#21153;器的工业控制系统工作站上的间谍和侦察操作,很可能为破坏性攻击做准备。

但是,它具有模块化架构,这意味着它的功能可以进一步扩展。

安全研究人员观察到的插件提供了诸如后门访问,文件泄露,抓取屏幕截图,记录击键和窃取凭据等功能。

用于恶意目的的合法工具

安全研究人员注意到,最初的攻击阶?#38382;?#29992;了不同的恶意软件,他们称之为“GreyEnergy mini”-也称为FELIXROOT,它不需要管理员权限。

它的任务是映射网络并收集凭据,使主要恶意软件具有完全控制网络所需的权限。Nmap和Mimikats是为安全研究目的而设计的免费工具。

使用的其他合法工具包括SysInternals PsExec和WinExe,用于在受损网络中执行横向移动。

与BlackEnergy和TeleBots的链接

自2015年以来,研究人员一直在追踪GreyEnergy,当时发现它针对波兰的一家能源公司。还认为它是BlackEnergy的继任者,并?#19968;?#21457;现了与2017年NotPetya攻击而闻名的TeleBots威胁组织的联系。

BlackEnergy威胁演?#22791;?#36131; 在网络攻击中使用同名恶意软件和KillDisk导致2015年12月在乌克兰停电。

“过去三年,已经看到GreyEnergy参与了对乌克兰和波兰的能源公司和其他高价?#30340;?#26631;的攻击。?#22791;?#36131;该研究的高级安全研究员说。

除了两者同时出现之外,?#26500;?#23519;到GreyEnergy与TeleBots子组之间的另一个链接。2016年12月,就注意到GreyEnergy部署早期版本的TeleBots的NotPetya蠕虫病毒的实例-在改变,改进和部署历史上最具破坏性的勒索软件爆发前半年。此勒索软件组件与GreyEnergy核心模块之间存在大量代码重用。然后称这个早期版本为“Moonraker Petya”,基于恶意软件编写者对文件名的选择-很可能是对詹姆斯邦德电影的引用。它没有臭名昭着的EternalBlue传播机制,因为它当时没?#34892;?#38706;。

?



专为隐身操作而设计

观察到两种不同的感染媒介:“传统的”鱼叉式网络钓鱼,以及面向公众的网络服务器的妥协。当这种?#36164;?#25915;击的Web服务器在内部?#27844;?#24182;连接到目标组织网络的其余部分时,攻击者将尝?#38498;?#21521;移动到其他工作站。该技术不仅用作主要感染载体,还用作备用再感染载体。

Stealth似乎是GreyEnergy的主要属性之一,因为它的命令和控制(C2)服务器仅与受感染网络上的特定计算机进行通信,这些计算机充当受感染工作站的代理。

在Duqu中可以看到这种操作方式,它被设计用于隐藏间谍活动,因为受感染的计算机与将信息中继到C2的内部服务器进行通信,而不是外部系统,这将是一个红旗。值得注意的是,C2服务器充当Tor中继。

?


?

其中在一个恶意软件样本中发现了一个有趣的发现,该恶意软件使用证书进行数?#26234;?#21517;,该证书是使用台湾工业和物联网硬件制造商研华的证书签署的。这些很可能是从公司偷来的,就像Stuxnet和最近的Plead恶意软件活动一样。

由于发现使用完全相同的证书来签署Advantech的干净,非恶意软件,所以认为该证书很可能?#22351;痢?#20540;得注意的是,发现的样本没有副签名,这意味着数?#26234;?#21517;证书的?#34892;?#26399;届满后,该证书无效,


恶意软件可以持久化或不持久化

区块链安全咨询公司 曲速未来 表示:GreyEnergy根据其渗透的机器类型部署其恶意软件。据研究,一种方法是在系统内存?#24615;?#34892;恶意软件。选择此方法的服务器具有较长的正常运行时间,重新启动很少。

目标的第二类系统是恶意软件需要持久性的系统,因为更高的重启可能性。在这种情况下,将选择现有服务并添加新的ServiceDLL注册表项。此方法可能会破坏系统,并且为了避免这种结果,恶意软件删除程序需要运行筛选过程以搜索满足一组要求的服务。

研究人员表示,GreyEnergy的目的是深入渗透到目标网络并收集信息。与TeleBots不同,它不属于破坏行业,但这并不排除破坏性能力在某一时刻可用的可能性。

但可以肯定的是,“对于GreyEnergy负责的威胁演员在他们的坚持和隐身方面极其危险。”研究人员总结道。


文章声明:本文为火星财经专栏作者作品,不代表火星财经观点,版权归作者所有,如需转载,请提前联系作者或注明出处。

声明:本文为入驻“火星号”作者作品,不代表火星财经官方立场。转载请注明出处、作者和本文链接
提示:加密资产为高风险投资标的,请谨慎选择。
语音技术由科大讯飞提供

推广
相关新闻

涨幅榜

你可能?#34892;?#36259;的内容
下一篇

算力战到?#33258;?#20040;打?——PoW算力是如何决定协议升级的

寻求报道 寻求融资 APP下载
APP下载 扫描下载APP
新疆18选7开奖结果
即开彩票销售数据 湖北十一选五走势图基本 31选7体彩论坛 安徽快3玩法电子开奖准备就绪 半全场胜平负算点球吗 新疆25选7开奖结果 梭哈游戏 山西快乐10分钟开奖结果 云南快乐十分提前开奖 南粤风采36选7的历史 北京赛车pk10下载 118822两码中特118822 新浪彩票开奖 江西多乐彩基本走试图 新疆时时彩五星基本走势彩经