Operation HideBear：俄语威胁者将目标瞄准东亚和北美

由于攻击链较为复杂，并且需要攻击者手动操作，所以我们一直没有获取到最终的payload，导致无法进行组织归属，直到2023年中时，我们观察到位于东亚和北美的终端下载了这些非法的安装包，攻击者最后通过SFTP向受害终端投递了TeamView的DLL-Sideloading组件内存加载MINEBRIDGE RAT，至此我们才确信该团伙与境外友商Zscaler ThreatLabZ在2021年披露的针对安全研究人员^[1]的攻击活动重叠。

该团伙在最近一年的钓鱼活动时间线：

整体执行链的重点在ssh反向隧道，由于openssh是正常的白文件，很容易绕过EDR终端的检测，最终攻击者通过sftp-server.exe向受害机器传递teamview的劫持组件，对themida样本进行分析后发现为MINEBRIDGE RAT，除此之外我们还发现了anydesk的使用并尝试利用psexec进行横向移动，攻击者在解密key的过程中使用了[System.Security.Cryptography.ProtectedData]::Unprotect函数，这意味着只有在受害机器的用户上下文中才能对数据进行解密。

本次钓鱼活动一共使用了四个合法签名，有些签名截止到报告完成为止仍然合法，通过合法的数字签名进行关联发现该团伙还使用了Amadey商业木马，但用途未知。

       Operation HideBear基础设施分布情况如下：

这意味着MINEBRIDGE的活动并不是一个单纯以经济动机为目标，也存在窃取电子信息技术和医疗技术的目的。MINEBRIDGE RAT最早由fireeye于2020年披露^[2],文中提到MINEBRIDGE可能是TA505的一个子集或者是一个全新的团伙，但是在后续其他厂商的报告中均将其归因为TA505，从目前我们掌握的信息来看我们更倾向于MINEBRIDGE是由一个新的威胁组来运营的，并且这个威胁组已经被微软威胁情报中心披露为Storm-0978 (RomCom)^[3]，Operation HideBear活动所用的钓鱼手法与Storm-0978类似，两起活动同时存在对Advanced IP Scanner这款扫描器安装包的伪造行为，更重要的是我们发现Operation HideBear活动和Storm-0978(RomCom)搭建仿冒网站所用的框架完全一致，所以我们有中等以上的信心认为Storm-0978(RomCom)、TA505、MINEBRIDGE这三者有着深厚的联系。

[2].https://www.mandiant.com/resources/blog/stomp-2-dis-brilliance-in-the-visual-basics

[3].https://www.microsoft.com/en-us/security/blog/2023/07/11/storm-0978-attacks-reveal-financial-and-espionage-motives/