区块链安全咨询公司 曲速未来 消息:一个新的高级威胁行动者现在在敌人的公共地图上,目标是关键基础设施部门的系统。名称是GreyEnergy,它显示与BlackEnergy组的相似之处。
GreyEnergy恶意软件目前没有破坏性功能,它似乎专注于运行SCADA软件和服务器的工业控制系统工作站上的间谍和侦察操作,很可能为破坏性攻击做准备。
但是,它具有模块化架构,这意味着它的功能可以进一步扩展。
安全研究人员观察到的插件提供了诸如后门访问,文件泄露,抓取屏幕截图,记录击键和窃取凭据等功能。
用于恶意目的的合法工具
安全研究人员注意到,最初的攻击阶段使用了不同的恶意软件,他们称之为“GreyEnergy mini”-也称为FELIXROOT,它不需要管理员权限。
它的任务是映射网络并收集凭据,使主要恶意软件具有完全控制网络所需的权限。Nmap和Mimikats是为安全研究目的而设计的免费工具。
使用的其他合法工具包括SysInternals PsExec和WinExe,用于在受损网络中执行横向移动。
与BlackEnergy和TeleBots的链接
自2015年以来,研究人员一直在追踪GreyEnergy,当时发现它针对波兰的一家能源公司。还认为它是BlackEnergy的继任者,并且还发现了与2017年NotPetya攻击而闻名的TeleBots威胁组织的联系。
BlackEnergy威胁演员负责 在网络攻击中使用同名恶意软件和KillDisk导致2015年12月在乌克兰停电。
“过去三年,已经看到GreyEnergy参与了对乌克兰和波兰的能源公司和其他高价值目标的攻击。”负责该研究的高级安全研究员说。
除了两者同时出现之外,还观察到GreyEnergy与TeleBots子组之间的另一个链接。2016年12月,就注意到GreyEnergy部署早期版本的TeleBots的NotPetya蠕虫病毒的实例-在改变,改进和部署历史上最具破坏性的勒索软件爆发前半年。此勒索软件组件与GreyEnergy核心模块之间存在大量代码重用。然后称这个早期版本为“Moonraker Petya”,基于恶意软件编写者对文件名的选择-很可能是对詹姆斯邦德电影的引用。它没有臭名昭着的EternalBlue传播机制,因为它当时没有泄露。
专为隐身操作而设计
观察到两种不同的感染媒介:“传统的”鱼叉式网络钓鱼,以及面向公众的网络服务器的妥协。当这种易受攻击的Web服务器在内部托管并连接到目标组织网络的其余部分时,攻击者将尝试横向移动到其他工作站。该技术不仅用作主要感染载体,还用作备用再感染载体。
Stealth似乎是GreyEnergy的主要属性之一,因为它的命令和控制(C2)服务器仅与受感染网络上的特定计算机进行通信,这些计算机充当受感染工作站的代理。
在Duqu中可以看到这种操作方式,它被设计用于隐藏间谍活动,因为受感染的计算机与将信息中继到C2的内部服务器进行通信,而不是外部系统,这将是一个红旗。值得注意的是,C2服务器充当Tor中继。
其中在一个恶意软件样本中发现了一个有趣的发现,该恶意软件使用证书进行数字签名,该证书是使用台湾工业和物联网硬件制造商研华的证书签署的。这些很可能是从公司偷来的,就像Stuxnet和最近的Plead恶意软件活动一样。
由于发现使用完全相同的证书来签署Advantech的干净,非恶意软件,所以认为该证书很可能被盗。值得注意的是,发现的样本没有副签名,这意味着数字签名证书的有效期届满后,该证书无效,
恶意软件可以持久化或不持久化
区块链安全咨询公司 曲速未来 表示:GreyEnergy根据其渗透的机器类型部署其恶意软件。据研究,一种方法是在系统内存中运行恶意软件。选择此方法的服务器具有较长的正常运行时间,重新启动很少。
目标的第二类系统是恶意软件需要持久性的系统,因为更高的重启可能性。在这种情况下,将选择现有服务并添加新的ServiceDLL注册表项。此方法可能会破坏系统,并且为了避免这种结果,恶意软件删除程序需要运行筛选过程以搜索满足一组要求的服务。
研究人员表示,GreyEnergy的目的是深入渗透到目标网络并收集信息。与TeleBots不同,它不属于破坏行业,但这并不排除破坏性能力在某一时刻可用的可能性。
但可以肯定的是,“对于GreyEnergy负责的威胁演员在他们的坚持和隐身方面极其危险。”研究人员总结道。