赛门铁克发现了一个名为“Sowbug(潮虫)”的未知网络团伙一直对南美和东南亚机构执行高度针对性的网络攻击,该团伙似乎对有关外交政策的机构和目标非常关注。Sowbug从渗入的机构中盗取相关文件,以执行越来越多的典型间谍攻击。
赛门铁克于2017年3月发现Sowbug相关活动的第一个证据,即一个名为“Felismus”的全新恶意软件,网络攻击者用其对东南亚的一个目标进行攻击。随后,我们又在太平洋两岸发现了更多的受害者。虽然Felismus工具是在今年三月份发现的,但其是否与Sowbug有关到现在仍无人知晓。赛门铁克将之前的攻击活动与Sowbug联系在一起,证明出这种恶意软件在2015年初一直处于活跃状态,而且可能更早时候就已经开始活动了。
迄今为止,Sowbug似乎主要关注的是南美和东南亚的各国政府,并已渗透到阿根廷、巴西、厄瓜多尔、秘鲁、文莱和马来西亚等国的机构之中。该团伙资源充足,能够同时渗透多个目标,经常在目标机构工作时间之外的时间来执行攻击以保持低调。
[click_to_tweet:1]
具有高度针对性的入侵
通过这些网络攻击者入侵受害者设备之后的活动,我们可以发现其动机和兴趣的一些相关线索。比如,在2015年对南美一个外交部的攻击之中,该团伙寻找的信息非常具体。
入侵的首个证据可追溯至2015年5月6日,而证实开始活动是在5月12日。网络攻击者似乎对该外交部的一个部门很感兴趣,而该部分负责的是南美与亚太地区的关系。他们试图提取该部门储存在文件服务器中的所有Word文件,为此运行了以下命令以将这些文档捆绑成RAR压缩文档:
cmd.exe /c c:\windows\rar.exe a -m5 -r -ta20150511000000 -v3072 c:\recycler\[REDACTED].rar "\\[REDACTED]\*.docx" \\[REDACTED]\*.doc.
值得注意的是,该命令指定仅将2015年5月11日后修改的文件进行压缩存档。
网络攻击者似乎成功提取了这些存档,因为他们在一个小时之后又回来试图提取2015年5月7日后修改的所有文件,也就是多出四天的数据。他们有可能在最初入侵时没有发现所寻找的内容,或者在刚开始盗取的文件中发现了一些信息,而促使他们搜寻更多的相关信息。
网络攻击者并没有就此罢休。他们的下一步行动是列出所有远程共享驱动器,然后访问特定政府办公室的远程共享文件,之后再次尝试提取所有Word文件。在本例中,网络攻击者搜索了5月9日后修改的所有文件。之后,网络攻击者似乎加大了兴趣,列出各种远程共享目录的内容,其中一项内容属于南美外交部的另一个部门,而该部门负责与国际机构的关系。他们还在受感染的服务器部署了两种未知的净负荷。总体而言,网络攻击者于2015年5月至9月期间在目标网络上停留了四个月。
网络通行:保持低调
Sowbug经常长期停留在目标机构的网络之上,有时会在受害者网络环境中停留六个月之久。Sowbug使用的一个策略是冒充常用的软件包(如Windows或)Adobe Reader,从而避免引起注意。然而,其从未试图对软件本身进行破坏。相反,该恶意软件给出类似于上述软件所使用的工具文件名称,并将这些名称放置在目录树之中,从而迷惑那些合法软件使用者。该恶意软件在进程列表中的形态很难引起怀疑,这使网络攻击者能在众目睽睽下躲藏起来。
比如,在2016年9月,Sowbug入侵了亚洲一家机构并在一台计算机(计算机A)上部署了Felismus后门程序,在CSIDL_WINDOWS\debug中使用的文件名为adobecms.exe。随后,其在名为“CSIDL_APPDATA\microsoft\security”的目录中安装了额外的组件和工具。
网络攻击者之后通过cmd.exe在计算机A上执行侦查活动,收集相关系统信息,如操作系统版本、硬件配置和网络信息。再之后,网络攻击者开始执行进一步侦查,试图识别计算机上所有已安装的应用程序。网络攻击者在四天后返回,在“Program Files”文件夹的Adobe目录中创建了一个名为“common”的子目录,即 c:\Program Files\Adobe\common,并在这个子目录中安装了另一个也名为“adobecms.exe”的工具。该工具可能就是更新版的后门程序。
攻击者后来又对第二台计算机进行了识别和入侵,因此他们的网络侦查可能取得了成功。网络攻击者后来又返回到计算机A,安装了另一个名为“fb.exe”的可执行文件。该文件似乎用来将网络中的Felismus复制到其他计算机之上,有证据表明,网络攻击者试图用其感染两台以上的计算机。
网络攻击者采取进一步措施,即仅在标准办公时间外的时间执行操作,以躲避监测。在本例中,网络攻击者于2016年9月至2017年3月期间在目标网络上停留了近六个月。
感染媒介
Sowbug如何对目标网络执行首次渗入仍不为人知。在某些案例中, Felismus毫无痕迹地进入受感染电脑,这意味着该程序很可能是从网络上的其他受感染计算机那里传播过来的。在其他攻击中,有证据表明,Felismus在安装时使用了一个行为“Starloader”的工具(赛门铁克检测其为Trojan.Starloader)。该工具是一种加载程序,可以安装和解密来自一个名为“Stars.jpg”文件的数据。此外, 我们还发现Starloader可部署网络攻击者所用的其他工具,如认证信息转储器和键盘记录器。
Starloader如何安装到受感染计算机,目前还仍未得知。有一种可能是网络攻击者使用虚假软件更新程序来安装这些文件。赛门铁克发现了Starloader文件采用AdobeUpdate.exe、AcrobatUpdate.exe和INTELUPDATE.EXE等文件名的证据。上述文件用以创建各种版本的Felismus后门程序和其他工具。
全球性威胁
网络间谍攻击常见于美国、欧洲和亚洲的目标,南美国家很少成为目标。然而,网络间谍活动的数量在近几年稳步增长,Sowbug的出现更是提醒人们所有地区都会受到这种威胁的影响。
保护
赛门铁克客户可防御Sowbug的攻击活动。而且,赛门铁克也尽力将相关信息通知给受攻击的目标。
使用(Intelligence Services)情报服务或启用网络过滤产品的客户可防御Sowbug网络间谍团伙的相关攻击活动。这些产品包括:
- Web Security Service (WSS)
- ProxySG
- Advanced Secure Gateway (ASG)
- Security Analytics
- Content Analysis
- Malware Analysis
- SSL Visibility
- PacketShaper
为了检测本博文所述恶意软件,赛门铁克采用以下特殊检测方法:
AV
IPS
感染指标
Backdoor.Felismus样本
| MD5 |
检测 |
| 514f85ebb05cad9e004eee89dde2ed07 |
Backdoor.Felismus |
| 00d356a7cf9f67dd5bb8b2a88e289bc8 |
Backdoor.Felismus |
| c1f65ddabcc1f23d9ba1600789eb581b |
Backdoor.Felismus |
| 967d60c417d70a02030938a2ee8a0b74 |
Backdoor.Felismus |
Trojan.Starloader样本
| MD5 |
检测 |
| 4984e9e1a5d595c079cc490a22d67490 |
Trojan.Starloader |
黑客工具
安装目录
- %WINDOWS%\debug
- %APPDATA%\microsoft\security
命令和控制基础结构
- nasomember[DOT]com
- cosecman[DOT]com
- unifoxs[DOT]com
