新闻快讯
< >

解密:俄“蜻蜓”黑客组织目标及工具

E安全4月26日讯 卡巴斯基实验室 ICS CERT 的研究人员分析了俄罗斯黑客组织“蜻蜓”(又被称为 Energetic Bear,活力熊)攻击的服务器,揭露了该组织使用的工具和攻击方式。

蜻蜓黑客组织

蜻蜓黑客组织自2010年开始活跃,主要将目标瞄向能源和工业领域的公司。继2017年10月发出该组织攻击关键基础设施的警告后,美国国土安全部(DHS)和联邦调查局(FBI)2018年3月发布警告称,已将该组织与俄罗斯联系起来,这份公告称蜻蜓黑客组织擅长侦察工作,会通过针对性鱼叉式网络钓鱼攻击获取重要信息。蜻蜓有时会从人力资源页面中下载照片,以便查看存在于图像背景中的设备型号与状态信息,还会尝试渗透各目标机构内的网络电子邮件与虚拟专用网络( VPN)连接。

在2018年3月发布的另一份报告中,端点安全公司 Cylance 表示,该组织感染了思科路由器,滥用其窃取凭证,进而对英国的能源公司发起攻击。

卡巴斯基分析俄罗斯黑客组织“蜻蜓”攻击的服务器-E安全

蜻蜓黑客组织服务器遍布全球

卡巴斯基实验室分析的服务器分布在全球各地,包括俄罗斯、乌克兰、英国、德国、土耳其、希腊和美国。大多数被感染的服务器被用来发起水坑式攻击,而其它服务器则被用来收集用户数据以及托管工具。该组织试图提取受害者的各种数据,如用户 IP 地址、用户名、域名、NTLM 哈希密码。

该组织使用大量工具扫描网站和服务器,被感染的部分服务器被用来对其它资源发起攻击,其扫描的大多数资源位于俄罗斯、乌克兰、土耳其、巴西、格鲁吉亚、哈萨克斯坦、瑞士、美国、法国和越南。

虽然扫描的站点和服务器似乎并没有关联,该组织可能在针对这些资源的同时在为自己的工具寻找合适的主机,以部署进一步的攻击。

“蜻蜓”使用的用具

卡巴斯基实验室在被感染的服务器上发现多个开源和公开可获取的工具,包括:

  • Nmap(网络分析工具);

  • Dirsearch(暴力扫描页面结构的工具);

  • Sqlmap(SQL注入利用工具);

  • Sublist3r(子域名快速枚举工具);

  • Wpscan(WordPress漏洞扫描工具);

  • Impacket;

  • SMBTra;

  • Commix(漏洞查找与命令注入);

  • Subbrute(子域名枚举);

  • PHPMailer。

此外,研究人员还发现了一个名为“ftpChecker.py”的自定义 Python 脚本,能检查 FTP 主机。

研究人员在 nginx 文件夹不同的目录中发现一系列恶意 php 文件、攻击者在被感染 Web 服务器上创建的工作目录,预装有后门的sshd。这款后门与 GitHub 上可公开获取的工具类似,能在任何操作系统上编译。攻击者替换被感染的服务器上的原始 sshd 文件,使用“主密码”登录到远程服务器,从而隐藏攻击痕迹。

该组织在被感染的服务器上安装了不同阶段需要的工具,该组织大致在一天的同一时间登录服务器,并在工作日检查 smbtrap 日志文件。

由于“蜻蜓”黑客组织使用公开可获取的工具,因此要确定归因更加困难,该组织还表现出了广泛的“兴趣”,可能会潜在瞄准互联网上的任何一台服务器寻找立足点。安全研究人员认为,该组织执行的任务主要包括搜索漏洞,获得持久性和窃取验证数据。

卡巴斯基的研究人员指出,该组织可能按照客户的要求行事,执行初始数据收集的任务,窃取验证数据,并在合适的资源上获得持久性,以便进一步实施攻击。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。