从地缘紧张局势中识别黑客活动

译者:知道创宇404实验室翻译组

原文链接:https://www.domaintools.com/resources/blog/current-events-to-widespread-campaigns-pivoting-from-samples-to-identify

1、前言

网络威胁情报(CTI)专员可通过跟踪地缘性紧张局势来深入了解对手行动。与刑事调查中的“遵循金钱”方法类似,查看冲突区域可以揭示相关网络功能。

上述理论得到了地缘政治紧张局势相关事件的验证:

根据先例,分析人员可以通过跟踪与重大事件和冲突区域有关的标识符来确定对手作战和技术能力的发展,洞悉黑客的手段和行为,并为以后可能发生的网络攻击事件提供防御和响应。

2、最初的发现:高加索冲突

考虑到上述论点,DomainTools研究人员围绕2020亚美尼亚和阿塞拜疆高加索地区的冲突开展研究。在调查过程中,研究人员发现了以下恶意文档文件:

Name: PKK militants in Nagorno-Karabakh.doc

MD5: e00af9b6303460666ae1b4bdeb9503ba

SHA1: ce810173555d6a98ce10c847f16e95575fe13405

SHA256: 7c495c21c628d37ba2298e4a789ff677867521be27ec14d2cd9e9bf55160518f

该文件伪装成新闻报导,内容涉及有关高加索冲突的详细信息,其中包含对外部站点的引用,该外部站点用于向受害者的计算机获取其他材料:

入侵的7个阶段。 其中1位于图片的顶部,7位于图片的底部。

在这种特定情况下,文档尝试与域“msofficeupdate[.]org”进行通信:

入侵的7个阶段。 其中1位于图片的顶部,7位于图片的底部。

总体而言,该文档似乎侧重于亚美尼亚与阿塞拜疆的冲突,并使用专用网络基础结构来实现攻击序列。虽然我们可以单独停下来查看该项目,但进一步的分析揭示了更多有趣的元素。

3、识别

文档和域都包含兴趣项,以供进一步分析和调整。回顾先前DomainTools博客中的课程,我们可以将与该活动相关的技术指标作为复合对象进行检查,并有机会识别基本的对手行为。

检查文档时,此处使用Phil Harvey的ExifTool显示的文件元数据表明存在一个长数字字符串作为模板对象:

入侵的7个阶段。 其中1位于图片的顶部,7位于图片的底部。

基于模板对象和硬编码的统一资源定位符(URL),文档将尝试与上面标识的域进行通信。恶意文档的实际功能取决于与攻击者域的网络通信,以及对资源的HTTP请求,例如:

hXXps://msofficeupdate[.]org/morgue6visible5bunny6culvert7ambo5nun1illuminate4

以下所有功能的出现取决于对此请求的响应。目前,DomainTools没有有关此响应可能返回的任何数据或其他信息。我们的分析仅限于文档本身和确定的网络基础结构。但是,黑客可能会在HTTP请求的URL模式中找到价值(单词除以单个数字),以开发网络入侵检测系统(NIDS)签名。

入侵的7个阶段。 其中1位于图片的顶部,7位于图片的底部。

除了缺乏后续执行的功能外,我们还有一个搜索字符串,可用于为其他文件样本添加指纹或在模板字符串中放置可能与原始广告系列有关的项目。值得注意的是,对于恶意文档,该项目不包含任何活动内容(ActiveX对象或Visual Basic for Applications [VBA]宏),这限制了我们识别其他项目的能力。但是,模板项看起来足够独特,可以用作标识类似构造的其他样本的指示符。

在基础架构方面,我们还有其他几条线索。正如以前在过去有关基础结构搜寻和分析的博客中所记录的那样,我们结合了与域名创建和托管相关的技术指标以及与域名本身相关的主题标识符。对于所讨论的域,如上面的上一个DomainTools Iris检查图像所示,以下观察结果成立:

  • 注册人电子邮件泄漏,“ gjdodson [AT] protonmail [.] com”。
  • 域名注册服务,“ PDR Ltd. d / b / a PublicDomainRegistry.com”。
  • 与域“ bitdomain [.] biz”关联的权威名称服务器。
  • 通过位于荷兰的提供商“ Web2objects Gmbh”,在专用服务器“ 46.30.188 [.] 236”上托管。
  • 通过Sectigo获得的SSL / TLS证书,标识信息有限。
  • 模仿Microsoft Office更新服务的域“主题”。

尽管上述任何一项单独地相对有限地无法确定敌对倾向或其他基础结构(无论是太笼统还是太具体),但结合起来,它们可以产生模式以供进一步分析。例如,寻找使用以Sectigo SSL / TLS证书托管在欧洲的名称服务器“ bitdomain [.] biz”通过PublicDomainRegistry通过域注册的以隐私为中心的电子邮件地址的组合,可以生成结果集以进行进一步分析。对此类调查的结果进行“主题”搜索,例如在域名中查找其他Microsoft或Office主题,可以标识其他与该广告系列相关的项目。

4、其他基础架构

根据上一节中描述的特征,DomainTools研究人员在估计概率或置信度的不同级别上,确定了35个与最初观察到的恶意域相关的模式匹配的域。如下表所示,我们可以观察到其他趋势,例如在注册过程中偏爱几种面向隐私的电子邮件服务,以及出于托管目的而过度关注欧洲虚拟专用服务器(VPS)提供程序。

DomainDate CreatedRegistrant EmailIP AddressHosting ProviderHosting LocationConfidence
iphoneupdatecheck[.]com2016-05-12louie@brookes.openmailbox.org91.236.116.166(ZoomEye搜索结果jaroslav88@tuta.ioSEMedium
brexitimpact[.]com2016-06-23jaroslav88@tuta.io185.112.82.7(ZoomEye搜索结果)**Oy Creanova Hosting Solutions Ltd.FILow
srv3-serveup-ads[.]net2019-04-16salemjoshi@protonmail.com101.100.209.236(ZoomEye搜索结果Vodien Internet Solutions Pte LtdSGLow
newoffice-template[.]com2019-06-12j.konnoban@email.cz147.135.170.193(ZoomEye搜索结果OVH Hosting Inc.FRHigh
ms-check-new-update[.]com2019-07-08stivgarret@protonmail.com87.121.98.51(ZoomEye搜索结果Tamatiya EOODBGMedium
template-new[.]com2019-08-28N/A66.70.218.38(ZoomEye搜索结果OVH Hosting Inc.FRHigh
user-twitter[.]com2019-11-13hostmaster@user-twitter.comN/AN/AN/AMedium
live-media[.]org2019-11-27sam.walker@tutanota.com137.74.181.109(ZoomEye搜索结果OVH SASFRMedium
officeupgrade[.]org2019-11-29alex.sval@tutanota.com198.24.134.13(ZoomEye搜索结果Secured Servers LLCUSHigh
template-office[.]org2020-01-10s.taylor87@seznam.cz185.243.114.175(ZoomEye搜索结果Access2.it Group B.V.DEMedium
get-news-online[.]com2020-01-15laptev.vl.90@mail.ruN/AN/AN/ALow
liveinfo[.]org2020-01-15laptev.vl.90@mail.ru91.195.240.87(ZoomEye搜索结果Sedo GmbHDEMedium
newoffice-update[.]com2020-02-11adam.crowld@protonmail.com51.161.96.100(ZoomEye搜索结果OVH Hosting Inc.CAMedium
update-office[.]com2020-03-03paul_wilsonn@protonmail.com192.52.166.12(ZoomEye搜索结果CrownCloud US LLCUSHigh
upgrade-office[.]com2020-03-18p.borovin@protonmail.com158.69.30.205(ZoomEye搜索结果OVH Hosting Inc.CAHigh
tls-login[.]com2020-03-25boxerkeen@protonmail.com103.255.250.70(ZoomEye搜索结果EN Technologies Pte Ltd.SGHigh
upgrade-office[.]org2020-04-07pavel.savin1992@bk.ru66.248.206.239(ZoomEye搜索结果Hostkey B.V.NLHigh
newupdate[.]org2020-06-04and.frolov@bk.ru46.183.221.141(ZoomEye搜索结果DataClub S.A.LVMedium
2020-windows[.]com2020-06-19gmail.chrome.2020@mail.ru176.107.181.128(ZoomEye搜索结果PE FreehostUALow
petronas-me[.]com2020-07-05cgog.global@gmail.comN/AN/AN/ALow
msupdatecheck[.]com2020-07-10mike.barrett@tutanota.com167.114.44.150(ZoomEye搜索结果OVH Hosting Inc.CAHigh
log1inbox[.]com2020-08-15vazquezftcathyo5123@gmail.comN/AN/AN/AMedium
gmocloudhosting[.]com2020-08-17hostmaster@gmocloudhosting.comN/AN/AN/ALow
msofficeupdate[.]org2020-08-20g.j.dodson@protonmail.com46.30.188.236(ZoomEye搜索结果Web2Objects GmbHGBHigh
interior-gov[.]com2020-08-31gmail.chrome.2020@mail.ruN/AN/AN/ALow
e-government-pk[.]com2020-09-04gmail.chrome.2020@mail.ruN/AN/AN/ALow
e-govoffice[.]com2020-09-07hostmaster@e-govoffice.comN/AN/AN/ALow
azureblog[.]info2020-09-25yshevloin@protonmail.comN/AN/AN/ALow
rneil[.]ru2020-10-01hostmaster@rneil.ruN/AN/AN/ALow
N/AN/AN/ALow
weather-server[.]net2020-10-09lulgaborova90@protonmail.comN/AN/AN/AMedium
doc-fid[.]com2020-10-21hostmaster@doc-fid.comN/AN/AN/ALow
rarnbler[.]com2020-11-09nesmali20@cock.li80.78.22.11(ZoomEye搜索结果CyberdyneSEMedium
msofficeupdate[.]com2020-11-10emil.moreu@protonmail.com185.25.51.24(ZoomEye搜索结果Informacines Sistemos IR Technologijos UABLTHigh
netserviceupdater[.]com2020-11-11hostmaster@netserviceupdater.comN/AN/AN/AMedium
new-office[.]org2020-11-13moris.pelletier@yahoo.com51.89.50.150(ZoomEye搜索结果OVH Hosting Inc.FRMedium

虽然大多数项目是在2020年创建的,但一些潜在的与网络相关的可观察到的事件可追溯到2016年。当与下一节中检查的恶意文档样本进行匹配时,我们开始看到持续冗长的攻击活动的轮廓。尽管时间延长了,但是在此期间,相同的基本网络行为会被观察到。

从视觉上观察,例如在下面的DomainTools Iris可视化图中,我们看到活动集群在名称服务器,注册商和顶级域(TLD)之间划分。随着人口的增加,我们可以开始提炼该对手的操作方法的更多方面,并有可能为将来的基础架构设计预测算法。

入侵的7个阶段。 其中1位于图片的顶部,7位于图片的底部。

5、其他样本

除了标识其他网络基础结构之外,查看原始文档以及取消观察到的网络基础结构的组合还会产生其他恶意文档样本。首先,唯一的模板数字字符串结合与域和文档主题的关系使发现其他项目成为可能。如下表所示,这些项目通过唯一的模板字符串以及与上面有关网络可观察物的分析相关的联系基础结构链接。

SHA256File NamespanFirst SeenSubmitter CountryDomain Contacted
1f117d5f398e599887ec92a3f8982751ceb83f2adb85d87a2c232906104e8772C. Bayramov.doc25 Jul 2020AZupgrade-office.org
4ad0e64e8ebed1d15fac85cd7439bb345824f03d8b3c6866e669c24a42901daaScandal that killed 346 people.doc29 May 2020AZupgrade-office.com
68bde4ec00c62ffa51cef3664c5678f1f4985eb6054f77a5190b4d62bd910538xyz.doc13 Sep 2020TRmsofficeupdate.org
7ba76b2311736dbcd4f2817c40dae78f223366f2404571cd16d6676c7a640d70Фадеев М1.doc18 Dec 2019UAofficeupgrade.org
7c495c21c628d37ba2298e4a789ff677867521be27ec14d2cd9e9bf55160518fPKK militants in Nagorno-Karabakh.doc12 Oct 2020AZmsofficeupdate.org
89503c73eadc918bb6f05c023d5bf777fb2a0de1e0448f13ab1003e6d3b71fefО поставке зенитных ракетных систем С-400.doc11 Dec 2019AZofficeupgrade.org
c630aa8ebd1d989af197a80b4208a9fd981cf40fa89e429010ada56baa8cf09dПланируемые расходы 2020(1).doc28 Dec 2019UAofficeupgrade.org
e5a4957d0078d0bb679cf3300e15b09795167fdcfa70bbeab6de1387cd3f75bfStrategic Defence and Security Review (2021 SDSR).doc31 Oct 2020SImsofficeupdate.org
7a1effd3cfeecdba57904417c6eeaa7a74d60a761138885b338e8dc17f2c3fbcСправочник АП_26.10.2020_.doc29 Oct 2020UAmsofficeupdate.org
0b116f5b93046c3ce3588bb2453ddbb907d990c2053827600375d8fd84d05d8bНовые поправки к Госпрограмме переселения в РФ (вст. в силу 01.07.2020).doc16 Sep 2020UAN/A
79c0097e9def5cc0f013ba64c0fd195dae57b04fe3146908a4eb5e4e6792ba24N/A16 Sep 2020GBnewoffice-template.com
d8f13e6945b6a335382d14a00e35bfefadbdfb625562e1120e5ed0b545f63e11N/A09 Nov 2020N/Atemplate-new.com
348b25023c45ed7b777fa6f6f635cb587b8ffbf100bfa6761d35610bba525a11Минтруд госслужба.doc04 Nov 2020UAmsofficeupdate.org
93279005aa4c8eddf01020b31bc2b401fe1366cbcc9bb2032ffaeb2984afcd79Минтруд госслужба 1 1.doc03 Nov 2020UAmsofficeupdate.org

如以下部分中更详细地描述,这些项目在很大程度上具有与高加索地区冲突或乌克兰持续冲突有关的主题。此外,它们从2019年12月延伸到2020年11月,这表明这项活动持续了将近一年没有发生重大变化。

除了这些项目外,DomainTools研究人员还确定了第二组文档,它们全部来自法国,具有“测试”主题,但与上述项目的各种特征匹配,例如唯一的Template字符串:

SHA256File NamespanFirst SeenSubmitter CountryDomain Contacted
29b49fc728510b8d10a84edbd884cd23a0c453c1158551dbd2d266539d5d09b5testmw4.doc18 Sep 2020FRN/A
da43472f3bced232ae8f905e819339fb75da0224a31fb1c394110c77b3318b09testmw8.doc18 Sep 2020FRupgrade-office.com
6478821432b8458053d953b6cff7d1b49f4349f5da366278778c87bc8789b65ctestmw7.doc18 Sep 2020FRupgrade-office.com
4285a05a993359b8418b590d3309a361f2c42ef7bc29216c0209e57b74513adbtestmw6.doc18 Sep 2020FRN/A
40b21a2cd054e01cf37eb22d041ef2ea652eaaeae0ba249439fa7ec07a4e9765testmw5.doc18 Sep 2020FRaaaaaaa-aaaaaa.com
282c805363469440eef082ac0f2a52dbdd47a8cdaecc08df4c1b4c073c5a8256testmw3.doc18 Sep 2020FRtest.com
df2a85d84daf10b4dcf8d8fdd83493f3c04f2ac7b3edaf4730df0522cc52009ftestmw2.doc18 Sep 2020FRN/A

上面的项目在其他文档中脱颖而出有几个原因:

  • 所有这些都在同一天提交给同一台多扫描仪服务。
  • 给定文件命名模式(testmw2,testmw3等),这些项目似乎是迭代的。
  • 根据文件名的迭代性质,对文件的分析表明其中文件的模糊或功能更改。

初步结论是,这些是针对恶意文档格式或模板的“测试”运行,这些格式或模板将在以后的活动中出现。但是,该结论成立的时机尚未定下来,因为“测试”项目出现在9月中旬,当时使用相同模板(功能和诱饵文档)的项目首次出现在2019年12月。

总体而言,由于没有明显的迹象将这批产品与其他广告活动联系起来,因此这批产品仍然是个谜。此外,所涉及的某些项目无法正常运行,或缺少与可能持续的活动相关的第一组文档中的活动相关的其他组件。目前,DomainTools没有任何其他信息可以处置这些项目,因此,相对于其他间谍软件而言,这些间谍软件仍然是一个谜,而其他恶意文档似乎更明确地设计用于间谍目的。

6、动机和归因

识别出的文件来自多个地方,但绝大多数集中在阿塞拜疆和乌克兰。

入侵的7个阶段。 其中1位于图片的顶部,7位于图片的底部。

与文档中的文本和标题相关的主题仍然更加有趣。除了引发这次调查的文件及其围绕最近高加索地区冲突的主题外,确定的主题还包括:

  • C. Bayramov.doc:引用了阿塞拜疆外交大臣Ceyhun Bayramov。
  • ФадеевM1.doc:作为纪录片电影制作人的募捐广告,介绍了乌克兰顿涅茨克地区(冲突地区)的事件。
  • ОпоставкезенитныхракетныхсистемС-400.doc:伪装成S-400防空系统的报告,由俄罗斯生产,并销往多个国家。
  • 2020年(1).doc:“ 2020年计划支出”,该文件似乎显示了乌克兰地方政府实体的人事费用。
  • 战略防御与安全评论(2021 SDSR).doc:战略防御计划文档,旨在提供给斯洛文尼亚国防部。值得注意的是,该文件似乎与发送给某人的网络钓鱼电子邮件有关,该人似乎是该国驻俄罗斯联邦大使馆的斯洛文尼亚军事武官。
  • СправочникАП_26.10.2020_.doc:来自俄罗斯支持但未被认可的顿涅茨克共和国的规划文件。
  • НовыепоправкикГоспрограммепереселениявРФ(вст.всилу01.07.2020).doc:关于俄罗斯联邦内部内部移民的文件。
  • Минтрудгосслужба.doc:来自俄罗斯支持但未得到认可的卢甘斯克独立共和国的文件

总体而言,与政治、军事及相关主题相关的文件大多出现在冲突地区,例如高加索地区和俄罗斯支持的乌克兰东部脱离地区。其他项目,例如DomainTools研究人员能够链接到网络钓鱼电子邮件的斯洛文尼亚国防文件,强烈暗示了出于间谍活动或类似目的的国家资助的利益,以激发这一运动。

入侵的7个阶段。 其中1位于图片的顶部,7位于图片的底部。

2020年10月,几位研究人员注意到了本报告中确定的一些文件,并将其链接到公共报告中称为“ Cloud Atlas ”或“ Inception ”的小组。尽管目前可用的数据与先前的Cloud Atlas活动并不完全一致,但是观察到以下共同点:

  • 定位于俄罗斯近郊地区。
  • 通过恶意文档将模板对象用于初始活动。
  • 可能依赖于网络通信来检索用于后续活动的第二阶段工具。

由文档发送的对HTTP请求的响应可能是使上述活动与Cloud Atlas actor保持一致的关键,但是由于缺少这一证据,DomainTools目前无法确认或拒绝与该组的关联。

不论具体的归因如何,与已知的高级持续威胁(APT)黑客(云图集)的可能链接与本质上具有高度政治性且没有明显货币化机制的竞选主题相结合,使发现的竞选可能成为国家赞助或政府主导的间谍活动。尽管在这种情况下定位可能意味着与俄罗斯有关的利益,但必须注意,早期的Cloud Atlas活动也针对俄罗斯联邦的实体。考虑到俄罗斯的目标以及对乌克兰分离地区的关注,一种可能的替代假设是,该活动代表乌克兰赞助的网络间谍活动。尽管很有趣,但目前仍然没有足够的证据支持这一假设。

尽管上述活动确实令人担忧,但此时的可用信息甚至无法支持对任何国家利益的弱化归因,只有与Cloud Atlas实体的合理链接(但尚未得到证实)。尽管可能没有具体的归因,但我们可以高度肯定地得出结论,该活动代表由一些尚不为人所知的国家行为者指挥的网络间谍活动。

7、结论

跟踪与地缘政治事件相关的主题对于发现可能与国家资助的利益相关的积极活动可能会非常富有成果。在上面的示例中,在2020年底搜索与高加索地区亚美尼亚-阿塞拜疆冲突有关的物品时,产生了恶意文件。然后,对该文档和相关基础架构的进一步分析导致发现了其他项目,这些项目概述了整个活动可以追溯到2019年。

尽管该活动的受害者似乎受地域限制,主要集中在乌克兰和阿塞拜疆,但从恶意文件和相关网络基础结构的分析中得出的教训可用于进一步防御类似类型的攻击。通过监视这些类型的事件特定事件,CTI分析师可以洞悉新兴的APT活动,并在发现后不久部署防御性对策。

以上是 从地缘紧张局势中识别黑客活动 的全部内容, 来源链接: utcz.com/p/199785.html

回到顶部