GreyEnergy与Zebrocy活动存在交叉

2019-02-12 14:07:537343人阅读

2018年10月,ESET发布了关于GreyEnergy恶意软件的一系列活动分析,认为GreyEnergy是BlackEnergy组织的继任者。BlackEnergy就是乌克兰电厂攻击的背后力量,与BlackEnergy类似,GreyEnergy的攻击目标也主要在乌克兰的工业和ICS目标。

Kaspersky Lab ICS CERT研究人员日前发现了GreyEnergy和Sofacy子集“Zebrocy”存在交叉。Zebrocy的目标主要是在中东、欧洲和亚洲地区,主要目标是政府相关的组织。

研究人员发现这两个恶意软件活动同时使用了相同的服务器,并且攻击了相同的组织。具体分析如下:

详情

服务器

2018年6月的分析报告显示,Zebrocy应用了新的VBA反沙箱技术还使用了不同的C2服务器,包括193.23.181[.]151。研究人员分析发现下面的Zebrocy样本也使用了相同的服务器来下载以下恶意组件:

7f20f7fbce9deee893dbce1a1b62827d
170d2721b91482e5cabf3d2fec091151
eae0b8997c82ebd93e999d4ce14dedf5
a5cbf5a131e84cd2c0a11fca5ddaa50a
c9e1b0628ac62e5cb01bf1fa30ac8317

用来下载额外数据的URL如下所示:

hxxp://193.23.181[.]151/help-desk/remote-assistant-service/PostId.php?q={hex}

该C2服务器也被GreyEnergy (也叫做FELIXROOT)用于鱼叉式钓鱼邮件的附件。详情如下:

· 文件Seminar.rtf利用了CVE-2017-0199漏洞。

· Seminar.rtf从hxxp://193.23.181[.]151/Seminar.rtf下载第二阶段文件(Seminar.rtf利用了CVE-2017-11882漏洞)。

· 原始文档(Seminar.rtf)位于相同的服务器,并从hxxp://193.23.181[.]151/ministerstvo-energetiki/seminars/2019/06/Seminar.rtf下载文件到受害者机器上。

另一个Zebrocy和GreyEnergy共用的服务器为185.217.0[.]124。同样地,研究人员检测到一个利用CVE-2017-11882漏洞的鱼叉式钓鱼GreyEnergy文档,名为Seminar.rtf 。

GreyEnergy与Zebrocy活动存在交叉

GreyEnergy诱饵文件Seminar.rtf

该文档回从下面的SMB链接下载一个GreyEnergy样本(78734cd268e5c9ab4184e1bbe21a6eb9):

\\185.217.0[.]124\Doc\Seminar\Seminar_2018_1.AO-A

下面的Zebrocy样本也使用该服务器作为C2:

7f20f7fbce9deee893dbce1a1b62827d
170d2721b91482e5cabf3d2fec091151
3803af6700ff4f712cd698cee262d4ac
e3100228f90692a19f88d9acb620960d

恶意软件样本还回从下面的URL提取额外的数据:

hxxp://185.217.0[.]124/help-desk/remote-assistant-service/PostId.php?q={hex}

其中至少有两个样本同时使用193.23.181[.]151和185.217.0[.]124作为C2。

GreyEnergy与Zebrocy活动存在交叉

GreyEnergy和Zebrocy相关的主机

被攻击的公司

GreyEnergy和Zebrocy鱼叉式钓鱼文档都hui攻击位于哈萨克斯坦的工业公司,下图是2018年6月攻击的例子。

GreyEnergy与Zebrocy活动存在交叉

GreyEnergy和Zebrocy重叠

Attack时间表

研究人员在GreyEnergy样本中提取的鱼叉式钓鱼文档Seminar.rtf大约是2018年6月21日,而Zebrocy样本中的鱼叉式钓鱼文档是2018年6月28日。

GreyEnergy与Zebrocy活动存在交叉

诱饵文档(28.06.18) Izmeneniya v prikaz PK.doc

Zebrocy和GreyEnergy几乎同事使用了上面提到的两个C2服务器:

· GreyEnergy和Zebrocy在2018年6月使用了193.23.181[.]151;

· 2018年5月到6月GreyEnergy使用了185.217.0[.]124,6月Zebrocy使用了185.217.0[.]124。

结论

GreyEnergy/BlackEnergy的运营者是进行渗透测试和漏洞挖掘的高级网络黑客组织。攻击者在攻击活动中不断更新了其工具和基础设施来绕过检测、追踪和归属。

虽然目前还没有证据证明GreyEnergy的来源,但是Sofacy(Zebrocy)和GreyEnergy肯定是存在联系的。本文详解介绍了这些组织在特定的时间内共享了相同的C2服务器基础设施,以及这两个组织同时攻击了相同的组织,这也进一步确认了这两个组织关系的存在性。


本文翻译自:https://securelist.com/greyenergys-overlap-with-zebrocy/89506/

翻译作者: ang010ela   原文地址:http://www.4hou.com/web/15939.html


0
现金券
0
兑换券
立即领取
领取成功