1
前言
一家俄罗斯医疗公司的员工鲁莽地点击了邮件中的链接,并下载了附件中的ZIP压缩包,因为这封带有“应付账款”主题的邮件看起来就像是俄罗斯大型商业咨询通讯社RBC集团的财务部门发出的。然而当其中的可执行文件运行仅二十秒钟后,WindowsDefender就检测到并删除了该恶意软件。而这二十秒足以使特洛伊木马在受害者完全没有察觉的情况下,在受感染的系统中持久驻留。三个星期后,该公司的员工上班了,并在计算机屏幕上收到一条警告消息:“您的文件已加密”。所有工作只能被迫停止了。攻击者要求提供价值5万美元的加密货币来解密文件。
Group-IB威胁情报小组最近跟踪了一个新的犯罪集团OldGremlin对俄罗斯医疗公司的一次成功攻击。威胁活动实施者对整个公司网络进行了加密,并要求提供50,000美元的赎金。众所周知,俄罗斯黑客界有一条不成文的规则,那就是不要攻击俄罗斯和前苏联解体后独立而成的国家。然而,由讲俄语的人员组成的OldGremlin组织仍在积极地攻击俄罗斯公司,包括银行、工业企业、医疗组织,软件开发商等。根据Group-IB专家估计,自春季以来,OldGremlin至少进行了七次网络钓鱼活动,期间黑客冒充了自我监管组织Mikrofinansirovaniye i Razvitiye(SRO MiR);一个俄罗斯冶金控股公司;一个白俄罗斯工厂Minsk Tractor Works;一个牙科诊所;媒体控股公司RBO。
2
这是您的发票
2020年8月,Group-IB发现了OldGremlin进行的首次成功攻击的细节。受害者是一家拥有地区分支网络的大型医疗公司。最初的攻击载荷是一封声称商业咨询通讯社RBC发送的网络钓鱼邮件。
IB Group威胁情报分析师已经确认,在最初阶段,攻击者使用了一种独特的称为TinyNode的自研恶意软件。它是一个后门程序,该后门可以下载并启动其他的恶意软件。在获得对受害者计算机的远程访问权限之后,攻击者可以利用它轻松地进行网络侦察,收集有价值的数据并通过网络传输。与许多其他组织一样,OldGremlin使用了Cobalt Strike框架来确保后续渗透攻击活动尽可能的有效。
攻击者进行侦查并确认当前为他们感兴趣的目标之后,他们会继续在网络上横向移动,最终获得域管理员权限。他们甚至创建了一个具有相同权限的其他帐户,以防止主帐户被限制。
在被OldGremlin攻击时,甚至备份也并不能挽救受害者。因为攻击开始几周前,网络犯罪分子抹去了该公司的备份数据。在周末短短几个小时内,他们便将勒索软件TinyCryptor传播到企业网络中的数百台计算机上。
当员工们第二天上班时,他们在计算机屏幕上收到一条警报消息:“您的文件已加密。要解密它们,请与我们联系...”,这句话后面显示的是一个ProtonMail上注册的匿名邮箱。有趣的是,犯罪分子会为每个新的攻击活动创建一个新的电子邮件地址。由于袭击活动,直接导致该公司的该地区分支系统瘫痪,无法继续运营。攻击者要求使用价值50,000美元的加密货币进行解密。
Group-IB的高级数字取证分析师OlegSkulkin说道,“OldGremlin是唯一一个讲俄语却违反了不攻击俄罗斯和前苏联解体后独立而成的国家这一潜规则的勒索软件攻击团伙。他们使用类似于APT组织所采用的复杂策略和技术,对俄罗斯的公司和银行进行多阶段的针对性攻击。与针对外国实体的其他类似组织一样,OldGremlin可以被归为“大型狩猎”(BigGame Hunting)活动的一部分,该分类汇集了针对大型企业网络的进行勒索攻击的团伙。”
3
紧随COVID-19的浪潮:首次活动
Group-IB威胁情报专家首次在2020年3月下旬至2020年4月初之间检测到OldGremlin的攻击。罪犯利用COVID-19,并冒充了自我监管组织Mikrofinansirovaniye iRazvitiye(SRO MiR),向金融机构提供了关于如何在疫情期间组织安全工作环境的虚假建议。这是该威胁活动实施者第一次使用他们自己开发的自定义木马TinyPosh。第二次攻击发生在4月24日,攻击方案大致相同,但是这次黑客模仿了牙科诊所Novadent。
两周后,OldGremlin改变了策略。他们发送了一封假电子邮件,谎称自己是俄罗斯商业咨询通讯社(RBC)的一名记者,邀请收件人参加“新冠病毒大流行期间对银行业和金融业的全国性调查”。与早期事件中使用的电子邮件不同,“RBC新闻工作者”的消息是用准确的俄语精心撰写的,并完美地模仿了媒体的风格。
“RBC新闻工作者”对潜在的受害者(银行雇员)进行了30分钟的采访,并约好通过Calendly软件安排会议。针对这次攻击,黑客使用该软件创建了一个calendar,在calendar中为受害者进行了预约。
犯罪分子随后向受害者发送了第二封电子邮件,在邮件中“RBC新闻工作者”解释说他“已将问题上传到云端”并正在等待回复。该电子邮件旨在激发受害者的兴趣,并引诱他们继续点击链接。为了使电子邮件看起来更具说服力,每封电子邮件都包含了一家知名网络安全公司的名字,并声称该安全公司对邮件的安全性进行了验证。
与最初的攻击活动一样,打开电子邮件中的链接将导致TinyPosh木马被下载到受害者的计算机上。该恶意软件在系统中持久驻留,能够获取启动特洛伊木马程序的帐户的权限,并且可以根据命令下载并启动Cobalt Strike的Beacon。为了隐藏真实的C&C地址,黑客使用了Cloudflare Workers服务。
图1:OldGremlin恶意软件攻击活动时间线
4
OldGremlin遍布俄罗斯
短暂的“休假”过后,该组织恢复了活动。2020年8月13日至14日,CERT-GIB(Group-IB的计算机紧急响应小组)跟踪到两次大规模恶意活动,黑客在其中部分模仿了RBC(俄罗斯商业咨询通讯社)和一家采矿冶金公司。在两天内,犯罪分子发送了约250封恶意电子邮件,主要针对金融和工业领域的俄罗斯公司。与之前的“RBC新闻工作者”(使用的姓名与实际的RBC记者的姓名相同)不同,发件人伪装成了一个并不存在的雇员。
几天后,网络罪犯又利用俄罗斯媒体一个关键话题——“白俄罗斯的抗议活动“编辑了一封诱饵电子邮件。8月19日上午,CERT-GIB小组检测到针对俄罗斯金融组织的恶意活动,这些电子邮件声称来自明斯克拖拉机厂(MTZ),总共有50多封恶意电子邮件被Group-IB威胁检测系统(TDS)识别和阻止。
电子邮件的发件人是“Alesya Vladimirovna”(有些情况下是“ AV Volokhina”),声称是MTZ的首席执行官,但是该公司实际上由另一个人领导:Vitaly Vovk。网络犯罪分子将白俄罗斯的抗议和罢工作为其电子邮件的主题:“不幸的是,大约一周前,检察官办公室对MTZ进行了检查。原因很明显,是因为我们组织起来的抗议Lukashenko的罢工。” 再往下,邮件要求收件人点击链接,下载一个压缩包,并发送丢失的文档来进行验证。实际上,CERT-GIB的分析师已经确认,受害者打开附件后,就会下载TinyPosh后门并安装在他们的计算机上。
OldGremlin对他们的鱼叉式电子邮件采用了创新的方法。8月19日,Group-IB威胁检测系统(TDS)检测并阻止了包含恶意ZIP文件链接的电子邮件,这些精心设计的电子邮件利用了最近的新闻作为诱饵。网络罪犯还使用公共URL缩短服务(例如bit.ly )来掩饰指向恶意文件的链接。配备Group-IB TDS的公司成功地检测到OldGremlin的攻击活动,并阻止了他们的电子邮件。
图2:恶意软件分析平台TDS Polygon对从电子邮件、网络流量、文件存储系统、个人电脑和自动化系统中提取到的文件,包括对人工上传的文件和通过API集成提取的文件进行行为分析
Group-IB恶意软件动态分析部门的主管Rustam Mirkasymov强调,“打击网络犯罪的组织之间缺乏强有力的沟通渠道,加上政治不稳定的背景,导致了新兴的网络犯罪集团认为他们可以逍遥法外。另一个助长网络犯罪分子勒索赚钱的因素包括企业对安全威胁的低估,以及缺乏及时识别和阻止勒索软件的安全控制系统。”。
5
MITRE ATT&CK Mapping
| 策略 |
技术 |
过程 |
|
Initial Access |
Phishing: Spearphishing Link |
OldGremlin攻击组织,发送鱼叉式钓鱼邮件,含有恶意链接或者自解压附件 |
|
Execution |
User Execution: Malicious File |
用户必须运行恶意文件来开始执行代码 |
|
Command and Scripting Interpreter: PowerShell |
OldGremlin使用混淆的PowerShell 脚本 |
|
|
Command and Scripting Interpreter: JavaScript/JScript |
OldGremlin使用混淆的JS 脚本 |
|
|
Persistence |
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
OldGremlin 使用SoftwareMicrosoftWindowsCurrentVersionRun 来保证TinyPosh and TinyNode的永久驻留 |
|
Defense Evasion |
Signed Binary Proxy Execution: Mshta |
OldGremlin利用mshta.exe来启动混淆的JS脚本 |
|
Signed Binary Proxy Execution: Rundll32 |
OldGremlin 利用rundll32.exe来打开一个诱饵文档 |
|
|
Process Injection: Asynchronous Procedure Call |
OldGremlin通过异步过程调用(APC)队列将Cobalt Strike注入到合法进程(如:svchost.exe和rundll32.exe)中 |
|
|
Obfuscated Files or Information |
OldGremlin混淆了他们在攻击生命周期中使用的脚本和命令。 |
|
|
Credential Access |
Credentials from Password Stores: Credentials from Web Browsers |
OldGremlin通过NirSoft WebBrowserPassView从web浏览器中提取密码 |
|
Unsecured Credentials: Credentials In Files |
OldGremlin通过NirSoft Mail PassView提取电子邮件密码 |
|
|
Discovery |
Software Discovery |
OldGremlin搜集关于安装在受害者主机上的应用程序信息 |
|
Remote System Discovery |
OldGremlin收集关于网络中的主机的信息来进行横向移动和部署TinyCryptor |
|
|
Lateral Movement |
Lateral Tool Transfer |
OldGremlin在Cobalt Strike Beacon的帮助下进行横向移动. |
|
Remote Services: Remote Desktop Protocol |
OldGremlin使用RDP进行横向移动 |
|
|
Remote Services: SMB/Windows Admin Shares |
OldGremlin 利用Cobalt Strike的PsExec模块部署TinyCryptor |
|
|
Collection |
Screen Capture |
OldGremlin从受害者主机创建屏幕快照 |
|
Command and Control |
Proxy: Multi-hop Proxy |
OldGremlin使用Tor网络与受害者主机进行交互 |
|
Encrypted Channel: Symmetric Cryptography |
OldGremlin使用RC4加密传输过程中的数据 |
|
|
Impact |
Data Encrypted for Impact |
OldGremlin在TinyCryptor恶意软件的帮助下加密网络中的计算机上的数据 |
6
Indicators of Compromise
MD5:e47a296bac49284371ac396a053a84882c6a9a38ace198ab62e50ab69920bf42306978669ead832f1355468574df168094293275fcc53ad5aca5392f3a5ff87b1e54c8bc19dab21e4bd9cfb01a4f5aa5fc30e902d1098b7efd85bd2651b2293fe0fe009b0b1ae72ba7a5d2127285d086f30e4d741018ef81da580ed971048707ac27db95366f4e7a7cf77f2988e119c230fdbf2335a9565186689c12090ea2cfe1692cc732f52450879a86cb7dcfbccd
Registry paths:HKCU:SoftwareClassesRegisteredHKCU:\Software\Microsoft\Windows\Security
IPs and Domains:136.244.67[.]5995.179.252[.]21745.61.138[.]1705.181.156[.]84rbcholding[.]pressbroken-poetry-de86.nscimupf.workers[.]devcalm-night-6067.bhrcaoqf.workers[.]devrough-grass-45e9.poecdjusb.workers[.]devksdkpwprtyvbxdobr0.tyvbxdobr0.workers[.]devksdkpwpfrtyvbxdobr1.tiyvbxdobr1.workers[.]devwispy-surf-fabd.bhrcaoqf.workers[.]devnoisy-cell-7d07.poecdjusb.workers[.]devwispy-fire-1da3.nscimupf.workers[.]devhello.tyvbxdobr0.workers[.]devcurly-sound-d93e.ygrhxogxiogc.workers[.]devold-mud-23cb.tkbizulvc.workers[.]dev
本文为CNTIC编译,不代表本公众号观点,转载请保留出处与链接。
联系信息进入公众号后点击“论坛信息”可见。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论