一个新犯罪团伙OldGremlin对俄罗斯公司的攻击活动

  • A+
所属分类:安全新闻

1

前言



一家俄罗斯医疗公司的员工鲁莽地点击了邮件中的链接,并下载了附件中的ZIP压缩包,因为这封带有“应付账款”主题的邮件看起来就像是俄罗斯大型商业咨询通讯社RBC集团的财务部门发出的然而当其中的可执行文件运行仅二十秒钟后,WindowsDefender就检测到并删除了该恶意软件。而这二十秒足以使特洛伊木马在受害者完全没有察觉的情况下,在受感染的系统中持久驻留。三个星期后,该公司的员工上班了,并在计算机屏幕上收到一条警告消息:“您的文件已加密”。所有工作只能被迫停止了。攻击者要求提供价值5万美元的加密货币来解密文件。

Group-IB威胁情报小组最近跟踪了一个新的犯罪集团OldGremlin对俄罗斯医疗公司的一次成功攻击。威胁活动实施者对整个公司网络进行了加密,并要求提供50,000美元的赎金。众所周知,俄罗斯黑客界有一条不成文的规则,那就是不要攻击俄罗斯和前苏联解体后独立而成的国家。然而,由讲俄语的人员组成的OldGremlin组织仍在积极地攻击俄罗斯公司,包括银行、工业企业、医疗组织,软件开发商等。根据Group-IB专家估计,自春季以来,OldGremlin至少进行了七次网络钓鱼活动,期间黑客冒充了自我监管组织Mikrofinansirovaniye i Razvitiye(SRO MiR);一个俄罗斯冶金控股公司;一个白俄罗斯工厂Minsk Tractor Works;一个牙科诊所;媒体控股公司RBO。



2

这是您的发票



2020年8月,Group-IB发现了OldGremlin进行的首次成功攻击的细节。受害者是一家拥有地区分支网络的大型医疗公司。最初的攻击载荷是一封声称商业咨询通讯社RBC发送的网络钓鱼邮件。

IB Group威胁情报分析师已经确认,在最初阶段,攻击者使用了一种独特的称为TinyNode的自研恶意软件。它是一个后门程序,该后门可以下载并启动其他的恶意软件。在获得对受害者计算机的远程访问权限之后,攻击者可以利用它轻松地进行网络侦察,收集有价值的数据并通过网络传输。与许多其他组织一样,OldGremlin使用了Cobalt Strike框架来确保后续渗透攻击活动尽可能的有效。

攻击者进行侦查并确认当前为他们感兴趣的目标之后,他们会继续在网络上横向移动,最终获得域管理员权限。他们甚至创建了一个具有相同权限的其他帐户,以防止主帐户被限制。

在被OldGremlin攻击时,甚至备份也并不能挽救受害者。因为攻击开始几周前,网络犯罪分子抹去了该公司的备份数据。在周末短短几个小时内,他们便将勒索软件TinyCryptor传播到企业网络中的数百台计算机上。

当员工们第二天上班时,他们在计算机屏幕上收到一条警报消息:“您的文件已加密。要解密它们,请与我们联系...”,这句话后面显示的是一个ProtonMail上注册的匿名邮箱。有趣的是,犯罪分子会为每个新的攻击活动创建一个新的电子邮件地址。由于袭击活动,直接导致该公司的该地区分支系统瘫痪,无法继续运营。攻击者要求使用价值50,000美元的加密货币进行解密。

Group-IB的高级数字取证分析师OlegSkulkin说道,“OldGremlin是唯一一个讲俄语却违反了不攻击俄罗斯和前苏联解体后独立而成的国家这一潜规则的勒索软件攻击团伙。他们使用类似于APT组织所采用的复杂策略和技术,对俄罗斯的公司和银行进行多阶段的针对性攻击。与针对外国实体的其他类似组织一样,OldGremlin可以被归为“大型狩猎”(BigGame Hunting)活动的一部分,该分类汇集了针对大型企业网络的进行勒索攻击的团伙。”



3

紧随COVID-19的浪潮:首次活动



Group-IB威胁情报专家首次在2020年3月下旬至2020年4月初之间检测到OldGremlin的攻击。罪犯利用COVID-19,并冒充了自我监管组织Mikrofinansirovaniye iRazvitiye(SRO MiR),向金融机构提供了关于如何在疫情期间组织安全工作环境的虚假建议。这是该威胁活动实施者第一次使用他们自己开发的自定义木马TinyPosh。第二次攻击发生在4月24日,攻击方案大致相同,但是这次黑客模仿了牙科诊所Novadent。

两周后,OldGremlin改变了策略。他们发送了一封假电子邮件,谎称自己是俄罗斯商业咨询通讯社(RBC)的一名记者,邀请收件人参加“新冠病毒大流行期间对银行业和金融业的全国性调查”。与早期事件中使用的电子邮件不同,“RBC新闻工作者”的消息是用准确的俄语精心撰写的,并完美地模仿了媒体的风格。

RBC新闻工作者”对潜在的受害者(银行雇员)进行了30分钟的采访,并约好通过Calendly软件安排会议。针对这次攻击,黑客使用该软件创建了一个calendar,在calendar中为受害者进行了预约。

犯罪分子随后向受害者发送了第二封电子邮件,在邮件中“RBC新闻工作者”解释说他“已将问题上传到云端”并正在等待回复。该电子邮件旨在激发受害者的兴趣,并引诱他们继续点击链接。为了使电子邮件看起来更具说服力,每封电子邮件都包含了一家知名网络安全公司的名字,并声称该安全公司对邮件的安全性进行了验证。

与最初的攻击活动一样,打开电子邮件中的链接将导致TinyPosh木马被下载到受害者的计算机上。该恶意软件在系统中持久驻留,能够获取启动特洛伊木马程序的帐户的权限,并且可以根据命令下载并启动Cobalt Strike的Beacon。为了隐藏真实的C&C地址,黑客使用了Cloudflare Workers服务。

一个新犯罪团伙OldGremlin对俄罗斯公司的攻击活动

图1:OldGremlin恶意软件攻击活动时间线



4

OldGremlin遍布俄罗斯



短暂的“休假”过后,该组织恢复了活动。2020年8月13日至14日,CERT-GIB(Group-IB的计算机紧急响应小组)跟踪到两次大规模恶意活动,黑客在其中部分模仿了RBC(俄罗斯商业咨询通讯社)和一家采矿冶金公司。在两天内,犯罪分子发送了约250封恶意电子邮件,主要针对金融和工业领域的俄罗斯公司。与之前的“RBC新闻工作者”(使用的姓名与实际的RBC记者的姓名相同)不同,发件人伪装成了一个并不存在的雇员。

几天后,网络罪犯又利用俄罗斯媒体一个关键话题——“白俄罗斯的抗议活动“编辑了一封诱饵电子邮件。8月19日上午,CERT-GIB小组检测到针对俄罗斯金融组织的恶意活动,这些电子邮件声称来自明斯克拖拉机厂(MTZ),总共有50多封恶意电子邮件被Group-IB威胁检测系统(TDS)识别和阻止。

电子邮件的发件人是“Alesya Vladimirovna”(有些情况下是“ AV Volokhina”),声称是MTZ的首席执行官,但是该公司实际上由另一个人领导:Vitaly Vovk。网络犯罪分子将白俄罗斯的抗议和罢工作为其电子邮件的主题:“不幸的是,大约一周前,检察官办公室对MTZ进行了检查。原因很明显,是因为我们组织起来的抗议Lukashenko的罢工。” 再往下,邮件要求收件人点击链接,下载一个压缩包,并发送丢失的文档来进行验证。实际上,CERT-GIB的分析师已经确认,受害者打开附件后,就会下载TinyPosh后门并安装在他们的计算机上。

OldGremlin对他们的鱼叉式电子邮件采用了创新的方法。8月19日,Group-IB威胁检测系统(TDS)检测并阻止了包含恶意ZIP文件链接的电子邮件,这些精心设计的电子邮件利用了最近的新闻作为诱饵。网络罪犯还使用公共URL缩短服务(例如bit.ly )来掩饰指向恶意文件的链接。配备Group-IB TDS的公司成功地检测到OldGremlin的攻击活动,并阻止了他们的电子邮件。

一个新犯罪团伙OldGremlin对俄罗斯公司的攻击活动

图2:恶意软件分析平台TDS Polygon对从电子邮件、网络流量、文件存储系统、个人电脑和自动化系统中提取到的文件,包括对人工上传的文件和通过API集成提取的文件进行行为分析

Group-IB恶意软件动态分析部门的主管Rustam Mirkasymov强调,“打击网络犯罪的组织之间缺乏强有力的沟通渠道,加上政治不稳定的背景,导致了新兴的网络犯罪集团认为他们可以逍遥法外。另一个助长网络犯罪分子勒索赚钱的因素包括企业对安全威胁的低估,以及缺乏及时识别和阻止勒索软件的安全控制系统。”。

 


5

MITRE ATT&CK Mapping



策略
技术
过程

Initial Access

Phishing:  Spearphishing Link

OldGremlin攻击组织,发送鱼叉式钓鱼邮件,含有恶意链接或者自解压附件

Execution

User Execution: Malicious  File

用户必须运行恶意文件来开始执行代码


Command and  Scripting Interpreter:  PowerShell

OldGremlin使用混淆的PowerShell 脚本


Command and  Scripting Interpreter:   JavaScript/JScript

OldGremlin使用混淆的JS 脚本

Persistence

Boot or Logon  Autostart Execution:  Registry Run Keys  / Startup Folder

OldGremlin 使用SoftwareMicrosoftWindowsCurrentVersionRun  来保证TinyPosh and  TinyNode的永久驻留

Defense Evasion

Signed Binary  Proxy Execution: Mshta

OldGremlin利用mshta.exe来启动混淆的JS脚本


Signed Binary  Proxy Execution:  Rundll32

OldGremlin 利用rundll32.exe来打开一个诱饵文档


Process Injection:  Asynchronous  Procedure Call

OldGremlin通过异步过程调用(APC)队列将Cobalt Strike注入到合法进程(:svchost.exerundll32.exe)


Obfuscated Files  or Information

OldGremlin混淆了他们在攻击生命周期中使用的脚本和命令。

Credential Access

Credentials from  Password Stores:  Credentials from Web  Browsers

OldGremlin通过NirSoft  WebBrowserPassViewweb浏览器中提取密码


Unsecured  Credentials: Credentials In  Files

OldGremlin通过NirSoft Mail  PassView提取电子邮件密码

Discovery

Software Discovery

OldGremlin搜集关于安装在受害者主机上的应用程序信息


Remote System  Discovery

OldGremlin收集关于网络中的主机的信息来进行横向移动和部署TinyCryptor

Lateral Movement

Lateral Tool  Transfer

OldGremlinCobalt Strike  Beacon的帮助下进行横向移动.


Remote Services:  Remote Desktop  Protocol

OldGremlin使用RDP进行横向移动


Remote Services:  SMB/Windows Admin  Shares

OldGremlin 利用Cobalt StrikePsExec模块部署TinyCryptor

Collection

Screen Capture

OldGremlin从受害者主机创建屏幕快照

Command and  Control

Proxy: Multi-hop  Proxy

OldGremlin使用Tor网络与受害者主机进行交互


Encrypted Channel:  Symmetric  Cryptography

OldGremlin使用RC4加密传输过程中的数据

Impact

Data Encrypted for  Impact

OldGremlinTinyCryptor恶意软件的帮助下加密网络中的计算机上的数据

 


6

Indicators of Compromise



MD5: e47a296bac49284371ac396a053a8488 2c6a9a38ace198ab62e50ab69920bf42 306978669ead832f1355468574df1680 94293275fcc53ad5aca5392f3a5ff87b 1e54c8bc19dab21e4bd9cfb01a4f5aa5 fc30e902d1098b7efd85bd2651b2293f e0fe009b0b1ae72ba7a5d2127285d086 f30e4d741018ef81da580ed971048707 ac27db95366f4e7a7cf77f2988e119c2 30fdbf2335a9565186689c12090ea2cf e1692cc732f52450879a86cb7dcfbccd
Registry paths: HKCU:SoftwareClassesRegistered HKCU:\Software\Microsoft\Windows\Security
IPs and Domains: 136.244.67[.]59 95.179.252[.]217 45.61.138[.]170 5.181.156[.]84 rbcholding[.]press broken-poetry-de86.nscimupf.workers[.]dev calm-night-6067.bhrcaoqf.workers[.]dev rough-grass-45e9.poecdjusb.workers[.]devksdkpwprtyvbxdobr0.tyvbxdobr0.workers[.]devksdkpwpfrtyvbxdobr1.tiyvbxdobr1.workers[.]dev wispy-surf-fabd.bhrcaoqf.workers[.]dev noisy-cell-7d07.poecdjusb.workers[.]dev wispy-fire-1da3.nscimupf.workers[.]dev hello.tyvbxdobr0.workers[.]dev curly-sound-d93e.ygrhxogxiogc.workers[.]dev old-mud-23cb.tkbizulvc.workers[.]dev

一个新犯罪团伙OldGremlin对俄罗斯公司的攻击活动


本文为CNTIC编译,不代表本公众号观点,转载请保留出处与链接。

联系信息进入公众号后点击“论坛信息”可见。


原文标题:Big Game Hunting: Now in Russia,Top Russian companies and banks under attack from OldGremlin - a group controlling TinyCryptor ransomware 
原文地址:https://www.group-ib.com/blog/oldgremlin
编译:CNTIC情报组


一个新犯罪团伙OldGremlin对俄罗斯公司的攻击活动

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: