Ghostwriter APT组织基础设施追踪

基础设施关联分析简介

基础设施关联分析是网络威胁情报(CTI)分析师需要掌握的一项重要技能。在分析恶意软件、钓鱼或网络攻击活动时,它可以帮助分析师看到更全面的威胁图景。基础设施关联分析实质上是寻找攻击者创建的更多系统的过程。这种分析的主要价值在于可以发现更多的攻击目标或受害者、更多的工具或恶意软件样本,最终能深入了解攻击者的能力。

如果操作得当,基础设施关联分析在事件响应(IR)工作中会非常有用。例如,它可能有助于将入侵行为归属于某个已知的威胁组织。这将帮助事件响应团队更好地理解受害组织面临的威胁级别。

获取威胁数据

要进行基础设施关联分析,需要获取威胁数据,比如来自公共和私营机构研究人员发布的威胁报告中分享的情报。然而,这种方式需要依赖其他研究人员的分析能力来解释基础设施的性质以及他们观察到的使用时间。

本文将分析来自公共部门组织(如乌克兰计算机应急响应团队CERT-UA)以及网络安全厂商(如Deep Instinct、Cyble和Fortinet)提供的威胁数据。这些组织在分析攻击者入侵活动或在VirusTotal等在线恶意软件沙箱中的上传后,分享了他们发现的威胁指标(IOC)。

Ghostwriter活动简介

2024年6月3日,Fortinet发布了一篇报告(https://www.fortinet.com/blog/threat-research/menace-unleashed-excel-file-deploys-cobalt-strike-at-ukraine),内容是关于带有宏的恶意XLS文档如何部署Cobalt Strike Beacon。对这些XLS文档的分析表明,它们似乎针对乌克兰军方,并与一个被称为Ghostwriter(又名UNC1151、UAC-0057、TA445)的白俄罗斯国家支持的APT组织有关。2024年6月4日,Cyble也发布了一篇关于类似活动的报告(https://cyble.com/blog/unc1151-strikes-again-unveiling-their-tactics-against-ukraines-ministry-of-defence/)。

这两份报告都提到,如果目标打开XLS并执行宏,就会从攻击者创建的域名下载恶意DLL文件。在Fortinet的报告中提到了两个类似的".shop"域名。在Cyble的报告中也提到了另一个".shop"域名。

重叠的威胁指标

对Ghostwriter APT基础设施进行的第一次关联分析涉及寻找在多个威胁报告中出现的威胁指标(IOC),如域名和IP地址。

发现这些重叠的最快方法是将报告的IOC持续收集到威胁情报平台(TIP)中。通过标签和IOC来源信息,可以发现在多个威胁报告中出现的IOC。最终,某个域名或IP地址会被多个机构报告,关联性就会显现出来。

如图1所示(见下文),域名"goudieelectric[.]shop"同时出现在Cyble和Fortinet的博文中。对这三个域名的分析发现,它们使用相同的通用顶级域名(gTLD)、注册商和域名服务器,并且都配置了robots.txt目录。这些共同的基础设施特征表明,这三个域名都是由同一个攻击者创建的。

域名注册和托管重叠

当更多IOC在其他威胁报告中被报告时,就可能通过攻击者重复使用相同的注册商、域名服务器和通用顶级域名,将它们与其他已知域名关联起来。

如图2所示(见下文),Deep Instinct报告(https://www.deepinstinct.com/blog/uncorking-old-wine-zero-day-cobalt-strike-loader)了另外两个可以通过共同使用PublicDomainsRegistry注册商、Cloudflare域名服务器和robots.txt文件与之前三个域名关联的域名。

此外,CERT-UA报告(https://cert.gov.ua/article/6280159)了另外三个域名(见下图3),也可以通过相同的方法与这个基础设施集群关联起来。这种行为模式强烈表明这些域名都是由同一个攻击者创建的。

发现未报告的域名

由于上述威胁报告中的域名已经通过重叠属性收集并关联在一起,现在就可以使用这些属性来寻找更多未被报告的域名。

使用VirusTotal域名属性查询,可以通过以下注册模式找到更多域名:

• 域名服务器: CLOUDFLARE
• 注册商: PublicDomainRegistry
• 顶级域名: *.shop

这揭示了24个符合这种模式的域名,它们很可能是由Ghostwriter这个国家支持的APT组织创建的:

• backstagemerch[.]shop
• bryndonovan[.]shop
• chaptercheats[.]shop
• clairedeco[.]shop
• connecticutchildrens[.]shop
• disneyfoodblog[.]shop
• eartheclipse[.]shop
• empoweringparents[.]shop
• foampartyhats[.]shop
• goudieelectric[.]shop
• ikitas[.]shop
• jackbenimblekids[.]shop
• kingarthurbaking[.]shop
• lansdownecentre[.]shop
• lauramcinerney[.]shop
• medicalnewstoday[.]shop
• moonlightmixes[.]shop
• penandthepad[.]shop
• physio-pedia[.]shop
• semanticscholar[.]shop
• simonandschuster[.]shop
• thevegan8[.]shop
• twisterplussize[.]shop
• utahsadventurefamily[.]shop

注意: VirusTotal域名搜索仅对VirusTotal企业用户开放。还有其他提供商允许你搜索域名注册模式,如DomainTools、Validin和Zetalytics。也有一些免费的开源情报网站,如nslookup.io和viewdns.info,在某些场景下也很有用。

寻找相关恶意软件样本

使用通过注册模式搜索发现的类似域名列表,就可以找到与之通信的更多恶意软件样本。

这可以通过查看VirusTotal中的域名并检查关联标签来实现,如下图4所示。

使用VirusTotal图表可以帮助揭示通过注册模式搜索发现的每个域名与每个通信文件之间的关系,如下图5所示。

VirusTotal图表链接: https://www.virustotal.com/graph/embed/gd2c04407d9ba4b75b2ce73d6155d166d3ef75eaf29894ff5ac287c90400072bc?theme=dark

VirusTotal集合链接: https://www.virustotal.com/gui/collection/2aa6b36a717be8bc49f7925434ca40f3ecb9f628414b491da3e985677508ca08/iocs

经验总结

总的来说,CTI分析师需要仔细检查他们遇到的IOC的属性。国家支持的APT组织在创建用于发起攻击的基础设施时经常会犯这样的错误。通过利用这一事实,CTI分析师可以更深入地了解攻击者的目标、能力以及这些活动背后的人员行为特征。

这类工作的重要性在2023年12月得到了体现,当时美国财政部制裁(https://home.treasury.gov/news/press-releases/jy1962)了被称为Callisto(又名Star Blizzard、BlueCharlie、COLDRIVER、GOSSAMER BEAR)的俄罗斯APT组织成员。Andrey Korinets的真实身份在他因为为俄罗斯联邦安全局(FSB)的鱼叉式钓鱼活动欺诈性创建和注册恶意域名基础设施而被制裁后暴露。