产品威胁情报团队发布了一个报告(PDF)这让我们对有组织网络犯罪的规模和结构有了异常清晰的了解。
它发现了一个全球网络犯罪活动,使用现代的管理方法,复杂的工具,包括它自己的恶意软件测试沙箱,并与Solarwinds.攻击、EvilCorp组织以及其他一些知名的恶意软件活动。
银色的鱼了
在从先前发布的Identifiers of Compromise (IOCs)中检测到一个在线域名(databasegalore[.]com)后,研究团队设法对SilverFish小组的命令和控制(C2)服务器进行了全面调查。
研究人员可以通过使用多个指标(如安装的软件)来创建一个在线服务器的独特指纹。在对IP4范围进行了12个小时的全局扫描后,他们发现了200多个安装非常类似的主机。
根据该报告,这“使PTI团队能够访问该组织的管理基础设施”,并了解该组织如何工作,它攻击了谁,以及如何攻击的重要信息。
复杂的组织
研究人员发现的是一个高度复杂的网络犯罪分子组织,瞄准全球大型公司和全球公共机构,专注于欧盟和美国。他们将这个组织命名为银鱼组。
通过将他们发现的C2服务器联系在一起,并将其与已知的IOC进行比较,研究人员能够将银鱼组连接到臭名昭着的Solarwinds攻击。
研究人员确认的大部分服务器也被臭名昭著的EvilCorp集团使用,该集团修改了TrickBot大规模网络间谍活动的基础设施。
链接到Solarwinds.
该报告描述了在调查和受太阳能攻击影响的调查和组织中确定的4,700名受害者之间的“重要重叠”。发现大型基础设施的重要部分与三家不同的安全公司共享的Solarwinds IOC有很强的联系。结论是这些服务器最有可能参加Solarwinds运动。
链接Trickbot
通过研究小组的战术、技术和程序(TTP),结合SilverFish小组攻击的技术复杂性,PRODAFT能够在c2服务器、命令统计数据、感染日期、目标部门和国家、攻击期间使用的工具、执行的命令、以及其他信息,这些信息与TrickBot使用的信息非常相似。
这个组织和TrickBot有关系吗?不太可能,但研究表明,SilverFish团队正在使用一个类似版本的tricbot基础设施和代码库。它还发现了证据WastedLocker恶意软件和其他与邪恶频率和Solarwinds匹配的TTP。
链接EvilCorp
邪恶公司是一个庞大的国际网络犯罪网络的名字。这个网络的头目在联邦调查局的通缉名单上高居榜首。2019年,美国当局对EvilCorp的所谓领导人马克西姆·雅库贝茨(Maksim Yakubets)和伊戈尔·图拉舍夫(Igor Turashev)提出指控,指控他们使用恶意软件从40多个国家的组织,包括学校和宗教组织窃取了数百万美元。EvilCorp负责Dridex和WastedLocker恶意软件的开发和分发。
必威平台APPMalwarebytes的威胁英特尔团队评论道:
Prodaft还提到了与被认为是由EvilCorp操作的wastdlocker勒索软件的关系,可能来自交通分配系统的分析。其中一个主机名与SocGholish社会工程工具包有关,用于在分发最终有效载荷前对受害者进行指纹识别。
管理
据PRODAFT介绍,SilverFish C2控制面板的主仪表板有一个名为“Active Teams”的部分。SilverFish使用了一个基于团队的工作流模型和一个类似于现代项目管理应用程序的分流系统。每个用户都可以对每个受害者写评论。基于这些(主要是俄罗斯人)的评论,研究人员获得了一个更好的理解的动机和受害者的优先级-行动的优先级基于这些评论。
在C2服务器上的评论中还发现了一个层次结构,可以管理不同的目标,将这些目标分配给不同的群体,并对即将到来的受害者进行分类。
目标
Silverfish集团的主要关注领域似乎是美国和欧洲,每个地区由不同的团队服务。他们似乎也主要是针对关键基础设施。在几乎所有关键基础设施中都发现了成功受害者(如所定义的)NIST网络安全框架)。
SilverFish集团主要针对能源、国防、政府或财富500强企业等关键实体。第二,研究人员在C2服务器上发现了一些评论,表明他们忽略了像大学、小公司和其他他们认为毫无价值的系统这样的受害者。
根据其公共财务报表,发现大约一半的受害者的公司是市场价值超过1亿美元的公司。
WordPress
与通过匿名支付方式购买域名的传统攻击不同,SilverFish使用被攻击的域名将流量重定向到C2控制面板。
为避免扰乱黑客网站的合法流量,Silverfish组创建了新的子域,这使得网站所有者几乎不可能了解他们的域名正在攻击中被利用。它们改变域的频率意味着Silverfish组有超过1,000个已经受损的网站,几乎每隔一天都旋转。
大量这些受损网站正在使用WordPress.该报告指出,虽然可以从地下市场购买登录凭据,“具有相同软件的受损网站的金额向我们展示了Silverfish集团也可以杠杆化0日或n日漏洞。“WordPress是,到目前为止,世界上最常用的Web内容管理系统以及过时的安装和易受攻击的插件不提供目标不足。
Post-exploitation
不出所料,人们发现SilverFish团队广泛使用了公开可用的“红色团队”工具,如Empire、Cobalt Strike和Mimikatz,以及用于枚举和数据导出的Powershell、BAT、CSPROJ、JavaScript和HTA文件。
执行钴打击信标使用域面对用于与C2服务器通信。域前端通过将HTTP流量从请求中可公开读的SNI部分中列出的服务器转发到私有(加密)Host头中列出的另一个服务器,从而模糊了HTTP流量的最终目的地。
银鱼组的主要目标可能是隐蔽的侦察和数据exfiltration。根据产品,Silverfish集团使用的命令和脚本“强烈表示复杂和高级剥削后技能组”。
远程沙盒
研究人员发现的最令人震惊的发现是,SilverFish团队设计了一个前所未有的恶意软件检测沙箱,由实际的企业受害者组成,这使得对手能够使用不同的企业AV和EDR解决方案在实时系统上测试他们的恶意负载(企业系统很难被不法分子获得)。
必威平台APPMalwarebytes威胁英特尔团队评论道:
机器被分析并用作测试场地,一种实时的杀毒测试平台,具有许多不同的EDR产品。
SilverFish攻击者使用该系统定期在6000多台受害设备、脚本和植入物上测试恶意负载。根据报告,SilverFish小组成员似乎在实时跟踪有效载荷的检出率。
水平的复杂性
产品说:“我们认为这种情况是在有组织威胁演员的理解能力方面成为一个重要的基石”,并且很难不同意。
尽管勒索软件组织可以很好地组织起来,但他们大多从事吵闹的打砸抢袭击。银鱼组有些不同。根据PRODAFT的说法,它是一个“在一个等级森严的环境中以有组织和纪律的方式运作的组织,一个甚至是高度划分的组织”,它采取“隐蔽的网络间谍活动的结构化方法”。
归因
药物研究人员避免归因,但有一些强大的指针可以在他们的中找到大量的报告.
- C2服务器上的俄罗斯俚语的俄罗斯评论和使用。
- 有迹象表明,该组织正在赦免前苏联的一部分国家,这些国家仍然与俄罗斯保持着密切的联系。
- 该集团在欧洲工作时间期间活跃,大部分活动记录在08:00至20:00之间(UTC)之间。
- 关注关键基础设施,以及美国和欧洲的主要公司。
归因很难,有时你得出的结论正是威胁行为人希望你得出的结论。但如果它像鸭子一样走路,像鸭子一样呱呱....
评论