赛门铁克最近正在调查中东地区的新出现的一次网络攻击,这次攻击涉及到 Shamoon 网络犯罪团伙所使用的破坏性磁盘数据清除恶意软件(W32.Disttrack、W32.Disttrack.B)。与先前攻击方式类似,Shamoon所使用的Disttrack恶意软件也携带着破坏性数据。然而,这种恶意软件需要通过其他方式才能部署于目标机构的网络之上,并需要使用先前盗取的认证信息加以配置。
在对先前涉及W32.Disttrack.B(又称 Shamoon)的调查中,赛门铁克发现了Greenbug 网络间谍团伙。Shamoon (W32.Disttrack)在2012年广受关注,当时网络攻击者用其对沙特阿拉伯能源公司发起攻击。该恶意软件(W32.Disttrack.B)最近于2016年11月又浮出水面,并再次对沙特阿拉伯的目标展开攻击。虽然媒体对这些网络攻击做以大量报道,但目前仍无法得知网络攻击者是如何盗取这些认证信息并在目标机构网络上导入W32.Disttrack的。
能不能是Greenbug为Shamoon提供了这些盗取的认证信息?
我们发现Greenbug将攻击目标瞄准中东地区的众多机构,涉及领域包括航空、能源、政府、投资和教育行业。为了从受入侵的机构中盗取敏感认证信息,该团伙使用一种名为Trojan.Ismdoor的定制信息盗取远程访问木马(RAT) ,以及各种黑客工具。
尽管Greenbug和Shamoon之间的关系并不明确,但该团伙在2016年11月17日W32.Disttrack.B 出现之前曾至少入侵过Shamoon目标机构中的一台主机。
[click_to_tweet:1]
Greenbug 于2016年6月之前就已初露头角,通常使用电邮来入侵目标机构。赛门铁克认为该团伙可独家获取恶意软件Trojan.Ismdoor。而且,该团伙还使用其他工具入侵网络上的其他计算机,盗取操作系统、电邮账户和网络浏览器上的用户名及密码。
在2016年6月至11月期间,该团伙使用Trojan.Ismdoor攻击中东地区各行业的大量目标。中东能源行业一家机构的合法网络基础设施被该团伙用以寄存Ismdoor所携带的数据,成为其执行网络攻击的一个环节。受这些网络攻击冲击的机构涉及航空、政府、投资和教育领域。其他受影响的区域包括沙特阿拉伯、伊朗、巴林、伊拉克、卡塔尔、科威特和土耳其。澳大利亚的一家沙特机构也成为了该团伙的攻击目标。
我们认为这种网络攻击首先是向受害者发送一封电邮,要求其下载一个RAR格式的压缩文档,并声称文档中包括有关商业计划书的信息。这些文件保存于合法网站之上,而Greenbug在之前就已入侵了这些网站。使用交换数据流的Ismdoor恶意软件便隐藏于RAR压缩文档之中。
Windows交换数据流 (ADS)是NTFS的一个功能,用以存储文件的详细信息。ADS中存储的信息对于用户来说是隐藏起来的,这也使其成为了一个吸引网络攻击者的功能。网络攻击者有时使用ADS在受入侵计算机上隐藏恶意软件或其他黑客工具。
下载的RAR文档含有三个文件,其中包括一个.pdf文件和一个.chm(编辑HTML帮助)文件,.chm文件中含有隐藏数据(Trojan.Ismdoor)的ADS。清洁的.pdf文件内含如何打开 .chm 文件的说明。打开内含恶意ADS的 .chm 文件,计算机将执行Ismdoor木马程序。
之后,Trojan.Ismdoor 将在受入侵电脑打开后门,并使用Windows PowerShell 进行命令和控制。这种木马随后可安装其他恶意软件,收集受感染计算机的系统数据,并借此确定使用哪些额外工具以进行进一步的数据收集。
我们发现Greenbug一直在下载大量记录击键的工具,以及收集浏览器、电邮和其他敏感数据(如用户认证信息)的工具。
虽然在W32.Disttrack.B 破坏性网络攻击前,Greenbug便曾出现在一家目标机构之中,但这无法说明其和Shamoon有着明显关联。然而,令人可疑的是Greenbug选择目标的方法,以及其在2016年11月17日 Shamoon攻击前一天停止下载 Ismdoor及相关工具的事实。这一次,赛门铁克将对这两个团伙进行分别跟踪,直到出现其他确凿证据为止。
赛门铁克目前正调查Shamoon在中东地区最新活动的报告。我们是否能在调查期间发现Greenbug 尚待分晓。然而,有一点可以肯定的是由 Shamoon实施的破坏性网络攻击依然是中东地区各机构所面临的现实危险。
为了保护用户免遭本篇博文所述威胁的影响,赛门铁克和诺顿产品采用了以下检测方法:
反病毒
入侵防御系统