投資有風險 入市需謹慎
APP
下載火星財經客戶端

掃描下載APP

微信公眾號
火星財經二維碼 火星財經

新的GreyEnergy惡意軟件針對ICS,與BlackEnergy和TeleBots捆綁在一起

曲速未來安全區 ·

10月18日

熱度: 7422

揭示臭名昭著的BlackEnergy APT小組的繼任者,該小組針對關鍵基礎設施,很可能為破壞性攻擊做準備。

新的GreyEnergy惡意軟件針對ICS,與BlackEnergy和TeleBots捆綁在一起

區塊鏈安全咨詢公司 曲速未來 消息:一個新的高級威脅行動者現在在敵人的公共地圖上,目標是關鍵基礎設施部門的系統。名稱是GreyEnergy,它顯示與BlackEnergy組的相似之處。

GreyEnergy惡意軟件目前沒有破壞性功能,它似乎專注于運行SCADA軟件和服務器的工業控制系統工作站上的間諜和偵察操作,很可能為破壞性攻擊做準備。

但是,它具有模塊化架構,這意味著它的功能可以進一步擴展。

安全研究人員觀察到的插件提供了諸如后門訪問,文件泄露,抓取屏幕截圖,記錄擊鍵和竊取憑據等功能。

用于惡意目的的合法工具

安全研究人員注意到,最初的攻擊階段使用了不同的惡意軟件,他們稱之為“GreyEnergy mini”-也稱為FELIXROOT,它不需要管理員權限。

它的任務是映射網絡并收集憑據,使主要惡意軟件具有完全控制網絡所需的權限。Nmap和Mimikats是為安全研究目的而設計的免費工具。

使用的其他合法工具包括SysInternals PsExec和WinExe,用于在受損網絡中執行橫向移動。

與BlackEnergy和TeleBots的鏈接

自2015年以來,研究人員一直在追蹤GreyEnergy,當時發現它針對波蘭的一家能源公司。還認為它是BlackEnergy的繼任者,并且還發現了與2017年NotPetya攻擊而聞名的TeleBots威脅組織的聯系。

BlackEnergy威脅演員負責?在網絡攻擊中使用同名惡意軟件和KillDisk導致2015年12月在烏克蘭停電。

“過去三年,已經看到GreyEnergy參與了對烏克蘭和波蘭的能源公司和其他高價值目標的攻擊。”負責該研究的高級安全研究員說。

除了兩者同時出現之外,還觀察到GreyEnergy與TeleBots子組之間的另一個鏈接。2016年12月,就注意到GreyEnergy部署早期版本的TeleBots的NotPetya蠕蟲病毒的實例-在改變,改進和部署歷史上最具破壞性的勒索軟件爆發前半年。此勒索軟件組件與GreyEnergy核心模塊之間存在大量代碼重用。然后稱這個早期版本為“Moonraker Petya”,基于惡意軟件編寫者對文件名的選擇-很可能是對詹姆斯邦德電影的引用。它沒有臭名昭著的EternalBlue傳播機制,因為它當時沒有泄露。

?

新的GreyEnergy惡意軟件針對ICS,與BlackEnergy和TeleBots捆綁在一起


專為隱身操作而設計

觀察到兩種不同的感染媒介:“傳統的”魚叉式網絡釣魚,以及面向公眾的網絡服務器的妥協。當這種易受攻擊的Web服務器在內部托管并連接到目標組織網絡的其余部分時,攻擊者將嘗試橫向移動到其他工作站。該技術不僅用作主要感染載體,還用作備用再感染載體。

Stealth似乎是GreyEnergy的主要屬性之一,因為它的命令和控制(C2)服務器僅與受感染網絡上的特定計算機進行通信,這些計算機充當受感染工作站的代理。

在Duqu中可以看到這種操作方式,它被設計用于隱藏間諜活動,因為受感染的計算機與將信息中繼到C2的內部服務器進行通信,而不是外部系統,這將是一個紅旗。值得注意的是,C2服務器充當Tor中繼。

?

新的GreyEnergy惡意軟件針對ICS,與BlackEnergy和TeleBots捆綁在一起

?

其中在一個惡意軟件樣本中發現了一個有趣的發現,該惡意軟件使用證書進行數字簽名,該證書是使用臺灣工業和物聯網硬件制造商研華的證書簽署的。這些很可能是從公司偷來的,就像Stuxnet和最近的Plead惡意軟件活動一樣。

由于發現使用完全相同的證書來簽署Advantech的干凈,非惡意軟件,所以認為該證書很可能被盜。值得注意的是,發現的樣本沒有副簽名,這意味著數字簽名證書的有效期屆滿后,該證書無效,

新的GreyEnergy惡意軟件針對ICS,與BlackEnergy和TeleBots捆綁在一起

惡意軟件可以持久化或不持久化

區塊鏈安全咨詢公司 曲速未來 表示:GreyEnergy根據其滲透的機器類型部署其惡意軟件。據研究,一種方法是在系統內存中運行惡意軟件。選擇此方法的服務器具有較長的正常運行時間,重新啟動很少。

目標的第二類系統是惡意軟件需要持久性的系統,因為更高的重啟可能性。在這種情況下,將選擇現有服務并添加新的ServiceDLL注冊表項。此方法可能會破壞系統,并且為了避免這種結果,惡意軟件刪除程序需要運行篩選過程以搜索滿足一組要求的服務。

研究人員表示,GreyEnergy的目的是深入滲透到目標網絡并收集信息。與TeleBots不同,它不屬于破壞行業,但這并不排除破壞性能力在某一時刻可用的可能性。

但可以肯定的是,“對于GreyEnergy負責的威脅演員在他們的堅持和隱身方面極其危險。”研究人員總結道。


文章聲明:本文為火星財經專欄作者作品,不代表火星財經觀點,版權歸作者所有,如需轉載,請提前聯系作者或注明出處。

推廣
相關新聞

漲幅榜

你可能感興趣的內容
下一篇

算力戰到底怎么打?——PoW算力是如何決定協議升級的

新疆18选7开奖结果