自打石油,天然气等资源被合理开采和利用后,中东地区给人的体验,基本就是富的流油,流的连飞机模型和真正的飞机都区分不清,3.29欧元和3.29亿欧元之间的区别,可能仅仅是觉得价格有点贵,但仍然是合理的。
当然,有钱赚的地方,就会有争端,更何况中东地区之间的矛盾与纷争已经不是一年两年的事情,此前黑鸟在某课上也大概讲了讲关于中东之间的矛盾点,以及衍生的网络战争,为去敏,打码部分自行脑补。
如上图所看,还有很多的中东网军并没有罗列进去,诸如,野山猫,甚至各类间谍机构,如大名鼎鼎的以色列,伊朗圣城旅。
而今天要谈的是一个新披露的中东网军,其名目前有两,一为HEXANE(正己烷),二为 LYCEUM(阅览室)。
由于该网军大多针对中东的能源组织发起攻击,而dragos对其命名为HEXANE(正己烷)更为贴近组织特征(深得黑鸟欢心),因此下文均已该名称进行阐述。
HEXANE主要针对工业控制系统(ICS)的相关实体发起攻击。主要目标是中东的石油和天然气公司,包括科威特作为主要经营区域。
HEXANE还针对中东,中亚和非洲的电信供应商发起攻击,目的可能是为了成为网络流通的中间人以图拦截流量,或用作相关攻击的跳板。
与其他组织一样,该组织也会通过分发恶意文档进行攻击,这些文档会释放恶意软件以为后续活动建立立足点。虽然该小组至少在2018年中期开始运作,但活动在2019年初至中期频繁进行。这一时间表,目标和增加的行动恰逢中东目前的紧张局势升级,充分表明目前的政治和军事冲突领域。
域名注册表明,2018年中期该组织的一项活动主要针对南非目标。在2019年5月,其发起了一场针对中东石油和天然气组织的攻击活动。
HEXANE针对电信供应商的行为体现出APT组织的针对供应链攻击趋势。
首先针对工业控制系统ICS的攻击越来越多地瞄准潜在目标供应链中的第三方组织。
例如,在2018年,针对几家工业原始设备制造商(OEM)以及硬件和软件供应商的APT组织XENOTIME。其通过攻击ICS系统内的目标所使用的设备,固件或电信网络,从而可能通过受信任的供应商进入受害环境,并绕过实体的大部分网络安全防护。
HEXANE表现出与MAGNALLIUM和CHRYSENE攻击组织存在的相似之处。
可见他们公司比较喜欢使用化学符号作为攻击组织的代号。
MAGNALLIUM (镁)= APT33
CHRYSENE(屈) = APT34(OilRig)
这两个组织均会针对ICS目标进行攻击活动,同样主要集中在石油和天然气,而一些行为和最近观察到的战术,技术和过程(TTPs)是相似的。与HEXANE一样,APT33也在2019年初至中期增加了活动。并且最近针对美国政府和金融机构以及石油和天然气公司的APT33活动中,曾试图访问同个目标组织的计算机。
HEXANE工具包
HEXANE最初使用通过密码暴力破解的方式获得的帐户权限。并通过这类账户发送带有恶意Excel附件的电子邮件,其中文档会释放DanBot恶意软件,并部署后渗透工具。
工具包如下:
DanBot - 第一阶段远程访问木马(RAT),使用基于DNS和HTTP的通信机制,提供基本的远程访问功能,包括通过cmd.exe执行任意命令以及上传和下载文件的能力
DanDrop - 嵌入在Excel XLS文件中的VBA宏,用于释放DanBot
kl.ps1 - 基于PowerShell的键盘记录器
Decrypt-RDCMan.ps1 - PoshC2框架的一部分
Get-LAPSP.ps1 - 来自PowerShell Empire框架的基于PowerView的脚本
DanBot
DanBot使用.NET Framework 2.0以C#编写,并提供基本的远程访问功能。
DanBot的C2协议的DNS隧道传输使用IPv4 A记录和IPv6 AAAA记录进行通信。自2018年初的样本以来,HTTP通道略有改动,但始终保留了共同的元素。
图1显示了DanBot硬编码用户代理中的拼写错误:操作系统值之后的&符号。黑鸟友情提醒可以加特征。
代码中的其他拼写错误包括关键元素之间缺少空格以及Accept-Encoding标头中的“Enconding”拼写错误。开发人员的所有DanBot样本中始终使用“Accept-Enconding”(注意额外的'n')。该错误可以促进对C2协议的基于HTTP的元素的网络检测。
图1.早期的2019年DanBot示例HTTP请求。
DanDrop
攻击者使用此恶意宏武器化文档中,提取DanBot Payload,然后使用计划任务Base64解码并安装恶意软件。
宏的基本形式和功能在分析的样本中保持不变,但是攻击者已经进行了渐进式改进以混淆宏并重构某些功能。
kl.ps1
kl.ps1是一个自定义键盘记录程序,它使用PowerShell编写并利用Microsoft .NET Core框架的一部分。它获取受害者设备上的窗口标题和键盘记录,并将它们存储为Base64编码数据。它还使用计划任务和VBScript文件进行持久化部署。图2显示了用于运行键盘记录器脚本的命令行。
图2.重建的PowerShell命令。
解密 - RDCMan.ps1
Decrypt-RDCMan.ps1是PoshC2渗透测试框架的一个组件。它用于解密存储在RDCMan配置文件中的密码凭据,密码可用于与文件存储服务器快速建立远程桌面会话。
恢复的凭证可以使攻击者在环境中获得额外的访问权限。该组织会在获得初始访问权限约一小时后通过DanBot部署此工具。
相关:
https://github.com/nettitude/PoshC2
https://github.com/nettitude/PoshC2/blob/master/Modules/Decrypt-RDCMan.ps1
GET-LAPSP.ps1
Get-LAPSP.ps1是一个PowerShell脚本,通过LDAP从Active Directory收集帐户信息。其使用了其他框架的代码并且已经使用诸如invoke-obfuscation之类的混淆脚本运行。该组织在初次受害者设备后不久就通过DanBot部署了此工具。
相关:
https://github.com/danielbohannon/Invoke-Obfuscation
攻击组织的目标第一站:人力资源和IT
2019年5月上传到外网的样本名称为“工业系统控制编程”。
对文档内容的肤浅分析可能会得出结论,本文档适用于使用工业控制系统(ICS)或操作技术(OT)的个人。
但是,本文档的真实内容是跨越多个部门的培训计划,其中ICS位居榜首。
这种培训一般针对高管,人力资源员工和IT人员,恰恰这些均为HEXANE的攻击目标。
HEXANE通过鱼叉式网络钓鱼使用已经攻陷的账户向目标高管,人力资源(HR)员工和IT人员发送钓鱼收件。
因为发件人为内部邮箱可信度较高,基本都会打开,而在感染远控后,下一步将会通杀整个工业控制系统。
2018年的几个活动(见图3)。
C2基础设施
LYCEUM使用PublicDomainRegistry.com,Web4Africa和Hosting Concepts BV注册商注册基础架构。新域名似乎已针对各个攻击系列进行注册。
该组织通常会在注册后的几周内使用该域名。而域名通常具有安全性或Web技术主题。
结论
没啥结论,重要的提醒便是,做好检测规则,做好防护,能源和工业控制系统ICS的注意类似攻击的防范,毕竟境外势力,哪都会渗透,利益攸关都是敌人。
组织活动信息
https://dragos.com/resource/hexane/
内附IOC信息
https://www.secureworks.com/blog/lyceum-takes-center-stage-in-middle-east-campaign
例行文末求关注。