Loading
0

窃听乌克兰超70家机构的Operation BugDrop行动分析:幕后黑客高度组织化、经济实力雄厚

乌克兰似乎常年以来都是黑客的攻击目标,去年该国遭遇电力停运事故,导致22.5万居民停电——幕后的黑客组织也是2015年BlackEnergy恶意程序致其电网停运的一群黑客。而最近,来自威胁情报公司CyberX的安全研究人员又发现了一起主要针对该国的黑客行动,并将之命名为Operation BugDrop。
从CyberX公布的报告来看,本次黑客行动已经从大约70个机构组织中获取到了600GB数据——受害机构组织包括了关键基础设施、新闻媒体还有科研机构,这些遭遇攻击的组织机构主要就是来自乌克兰,其他目标还包括俄罗斯、沙特阿拉伯、奥地利等。

在攻击方式上,主要是利用复杂的恶意程序来获取目标设备中的数据,包括截屏、文档、密码,更重要的是这种恶意程序会开启目标PC的麦克风来录制受害者的音频数据。而攻击的部署方式主要是通过钓鱼邮件,邮件中携带恶意Word文档。一旦目标设备感染恶意程序,则恶意程序会将音频和数据发往黑客的Dropbox。这也是研究人员将此恶意程序称作Operation BugDrop的原因。
攻击目标
CyberX确认,当前受害的企业组织至少有70家。遭遇攻击的企业机构涉及到多个行业,包括基建、媒体和科研机构。攻击的恶意行为主要是窃取数据,如录音、截屏、文档和密码数据。值得一提的是,Operation BugDrop窃取数据时会开启目标PC的麦克风——现在很多用户都比较有安全意识,平常会将摄像头贴起来,但如果通过麦克风录音,则很难通过这种物理隔离的方式来避免被窃听。

Operation BugDrop攻击目标地理位置分布
这一黑客行动的主要目标都位于乌克兰,另外也有少部分目标位于俄罗斯、沙特阿拉伯和奥地利。许多受害机构位于顿涅茨克(Donetsk)和卢甘斯克(Luhansk),这些地方被乌克兰政府划归至恐怖组织。
列举一些Operation BugDrop的攻击目标
- 某家为石油天然气管道基建设计远程监控系统的公司;
- 一家监督人权、反恐和在基建方面的网络攻击的国际组织;
- 某家设计变电站、配气管道和水厂的工程公司;
- 一家科研机构;
- 乌克兰报纸编辑。
Operation BugDrop是个有组织的黑客行动,行动中采用复杂的恶意程序,似乎是由某家“具大量资源”的组织支持的。比如说,此恶意行为需要叫大规模的后端设施用于存储、解密、分析,每天都有几个GB的数据。而且还需要一个庞大的团队进行人力分析,通过人工和大数据配合的分析方式。

编译时间,恰在ESET宣布发现Operation Groudbait的一个月之后
CyberX认为,Operation BugDrop和2016年5月份发现的Operation Groundbait存在诸多相似性——后者是ESET发现的。这两个黑客活动在策略、技术和流程方面存在不少相似性,不过CyberX也提到,Operation BugDrop的TTP明显更为复杂、老道。比如说:
- 用Dropbox来进行数据释放,因为Dropbox的流量并不会被企业防火墙阻止或监控,所以这种方式很不错;
- 采用反射DLL注入技术(Reflective DLL Injection),先前乌克兰电网攻击事件中BlackEnergy用过这招,针对伊朗核设施的震网攻击中Duqu也用过这招;反射DLL注入在无需调用普通Windows API的情况下就能加载恶意代码,因此能够在加载至内存之前绕过安全代码认证;
- 加密DLL,因此能够避开常规反病毒和沙盒系统的检测,因为它们无法分析加密文件;
- 采用合法免费的web hosting站,用于C&C。C&C服务器实际上对于攻击者而言很不利,因为调查人员常常利用诸如whois和PassiveTotal等工具来获取C&C服务器的注册信息。免费的web主机站所需的注册信息就非常少。Operation BugDrop就采用免费的web主机站来存储核心恶意程序模块。相较之下,去年Groudbait攻击者就有自己注册付钱的恶意域名和IP地址。
Operation BugDrop采用钓鱼邮件攻击的方式来感染目标对象,邮件中包含了Microsoft Office文档附件,其中携带恶意宏。如果用户禁用了宏,还利用社工的方式来欺骗用户启用Word中的宏功能。
技术细节
1.感染方式
- 攻击者采用钓鱼邮件的方式来感染攻击目标,邮件会要求受害者开启附件中的Word文档,文档中实际就包含了恶意宏;
- 如果说宏被禁用,受害者会看到一个对话框(如下图所示),要求受害者启用宏。该对话框实际也是精心设计的,看起来很像是Office的官方信息;

-对话框显示俄语内容:внимание! Файл создан в более новой версии программы Микрософт Office. Необходимо включить Макросы для корректного отображения содержимого документа
翻译过来就是:“请注意!该文件采用更新版本的Office程序创建。您需要启用宏,以便正确显示文档内容。”
- 从文档元数据来看,所书为乌克兰语,但实际文档原始语言是俄语;
- 文档创建者名为“Siada”;
- 文档最后修改时间是2016年12月22日 10:37:00;
- 这份文档展示了一系列军事人员的个人信息,比如说生日和地址(如上图所示);

分页阅读: 1 2 3
【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。