2018年10月,ESET发布了关于GreyEnergy恶意软件的一系列活动分析,认为GreyEnergy是BlackEnergy组织的继任者。BlackEnergy就是乌克兰电厂攻击的背后力量,与BlackEnergy类似,GreyEnergy的攻击目标也主要在乌克兰的工业和ICS目标。
Kaspersky Lab ICS CERT研究人员日前发现了GreyEnergy和Sofacy子集“Zebrocy”存在交叉。Zebrocy的目标主要是在中东、欧洲和亚洲地区,主要目标是政府相关的组织。
研究人员发现这两个恶意软件活动同时使用了相同的服务器,并且攻击了相同的组织。具体分析如下:
详情
服务器
2018年6月的分析报告显示,Zebrocy应用了新的VBA反沙箱技术还使用了不同的C2服务器,包括193.23.181[.]151。研究人员分析发现下面的Zebrocy样本也使用了相同的服务器来下载以下恶意组件:
7f20f7fbce9deee893dbce1a1b62827d 170d2721b91482e5cabf3d2fec091151 eae0b8997c82ebd93e999d4ce14dedf5 a5cbf5a131e84cd2c0a11fca5ddaa50a c9e1b0628ac62e5cb01bf1fa30ac8317
用来下载额外数据的URL如下所示:
hxxp://193.23.181[.]151/help-desk/remote-assistant-service/PostId.php?q={hex}
该C2服务器也被GreyEnergy (也叫做FELIXROOT)用于鱼叉式钓鱼邮件的附件。详情如下:
· 文件Seminar.rtf利用了CVE-2017-0199漏洞。
· Seminar.rtf从hxxp://193.23.181[.]151/Seminar.rtf下载第二阶段文件(Seminar.rtf利用了CVE-2017-11882漏洞)。
· 原始文档(Seminar.rtf)位于相同的服务器,并从hxxp://193.23.181[.]151/ministerstvo-energetiki/seminars/2019/06/Seminar.rtf下载文件到受害者机器上。
另一个Zebrocy和GreyEnergy共用的服务器为185.217.0[.]124。同样地,研究人员检测到一个利用CVE-2017-11882漏洞的鱼叉式钓鱼GreyEnergy文档,名为Seminar.rtf 。
GreyEnergy诱饵文件Seminar.rtf
该文档回从下面的SMB链接下载一个GreyEnergy样本(78734cd268e5c9ab4184e1bbe21a6eb9):
\\185.217.0[.]124\Doc\Seminar\Seminar_2018_1.AO-A
下面的Zebrocy样本也使用该服务器作为C2:
7f20f7fbce9deee893dbce1a1b62827d 170d2721b91482e5cabf3d2fec091151 3803af6700ff4f712cd698cee262d4ac e3100228f90692a19f88d9acb620960d
恶意软件样本还回从下面的URL提取额外的数据:
hxxp://185.217.0[.]124/help-desk/remote-assistant-service/PostId.php?q={hex}
其中至少有两个样本同时使用193.23.181[.]151和185.217.0[.]124作为C2。
GreyEnergy和Zebrocy相关的主机
被攻击的公司
GreyEnergy和Zebrocy鱼叉式钓鱼文档都hui攻击位于哈萨克斯坦的工业公司,下图是2018年6月攻击的例子。
GreyEnergy和Zebrocy重叠
Attack时间表
研究人员在GreyEnergy样本中提取的鱼叉式钓鱼文档Seminar.rtf大约是2018年6月21日,而Zebrocy样本中的鱼叉式钓鱼文档是2018年6月28日。
诱饵文档(28.06.18) Izmeneniya v prikaz PK.doc
Zebrocy和GreyEnergy几乎同事使用了上面提到的两个C2服务器:
· GreyEnergy和Zebrocy在2018年6月使用了193.23.181[.]151;
· 2018年5月到6月GreyEnergy使用了185.217.0[.]124,6月Zebrocy使用了185.217.0[.]124。
结论
GreyEnergy/BlackEnergy的运营者是进行渗透测试和漏洞挖掘的高级网络黑客组织。攻击者在攻击活动中不断更新了其工具和基础设施来绕过检测、追踪和归属。
虽然目前还没有证据证明GreyEnergy的来源,但是Sofacy(Zebrocy)和GreyEnergy肯定是存在联系的。本文详解介绍了这些组织在特定的时间内共享了相同的C2服务器基础设施,以及这两个组织同时攻击了相同的组织,这也进一步确认了这两个组织关系的存在性。