2015年下半年,来自卡巴斯基实验室GReAT(即全球研究与分析团队)的研究人员们遭遇到一项难解的谜题,而其背后的答案则指向某个名为“波塞冬(Poseidon)”的葡语针对性攻击集团。该集团已经拥有相当“悠久”的发展历程,据信其在2005年甚至更早就已经相当活跃,而最初诞生之迹象则可追溯至2001年。考虑到这些因素,我们可以想见“波塞冬”已经拿出大量时间构建其攻击框架。

那么为什么“波塞冬”威胁势力能够经过十余年的潜伏而不被人们所察觉?事实上,其此前曾经显露过形迹。其恶意活动的大多数样本都被及时发现,只不过“波塞冬”一直作为一支“定制化高针对性极强的恶意软件”开发团队存在,这就导致安全研究人员并没能将其同具体攻击活动联系起来。而作为其鲜明特征,“波塞冬”会在不同攻击行动中使用各具特色的举措及手段,有时候甚至会开发出独一无二的恶意工具。

第一支葡语网络攻击集团#THE POSEIDON APT面向全球企业发动攻击#THESAS2016

我们的研究团队得以努力追查波塞冬工具的演变进程,从而逐步掌握他们的思路与特定实践是如何感染并敲诈受害者,最终以此为线索拼凑出了事情的完整样貌。凭借着开发出的一系列各具针对性的信息收集与权限提升手段,由波塞冬所代表的新兴黑客势力已经表现出极强的技术能力与攻击途径复杂程度。如今,这些区域性恶意人士在技术水平方面早已不逊于全球领先的各大知名针对性攻击实施者。

为了对波塞冬集团的活动进行了解,研究人员耐心地拆解其作案手法,并深入挖掘他们部署至每个选定目标当中的、用于实现感染的定制化工具方案。在这个过程当中,我们发现其恶意软件在开发上显示出高度区域化特征,且在地理上趋近于受害者——这种状况在欧洲这样网络犯罪行业高度成熟的地区当然不足为奇。他们打造出的持续发展当中的工具包仍在进行不停迭代甚至足以避过安全人员的重重检测,不过为了对其进行全面审视,我们首先应当着眼于其发展历程。

常见问题

波塞冬集团到底是怎么回事?

波塞冬集团是一支长期面向各个领域运作的团队,包括陆、海、空等各个层面。他们致力于推进有针对性的攻击活动,并通过在鱼叉式钓鱼邮件中的办公文档及广泛的横向移动工具内嵌入可执行元素以积极收集企业内部环境的网络信息。经过筛选的信息而后会被用于向受害企业发出勒索,而波塞冬集团则会以安全厂商的姿态出现。而且即使双方已经达成合作协议,波塞冬集团往往仍会继续感染或者间隔一段时间再重新进行恶意扩散,从而在超出协议之外的领域继续疯狂收集敏感数据。波塞冬集团一直非常活跃,而且自2005年甚至更早时即使用自定义代码及开发工具包开发立足于英语及葡萄牙语版本的Windows操作系统,而采取的渗透方法则包括劫持卫星连接等。直到目前,波塞冬集团仍处于活跃状态。

为什么要使用“波塞冬集团的高级针对性攻击方案”这种表述?

根据与之相关的可执行文件中的部分字符串,研究人员发现相关攻击者表现出对希望神话的热衷与喜爱,特别是关于海神波塞冬(这同时也表现为他们近来利用卫星通信机制对海上船舶服务进行入侵)。而高级元素则体现在他们不断对感染手段加以调整,从而适应每位潜在客户的定制要求,包括利用自适应型工具包实现横向移动以及数据收集等等。他们的业务周期当中包含利用窃取到的信息进行所谓“财务预测”,因为我们可以说由波塞冬集团发起的针对性攻击不仅堪称精品,甚至可以说是恶意活动中的珍宝。

这项威胁是如何被察觉的?谁对其进行了上报?

我们注意到,一部分安全厂商以及相关安全爱好者多年以来已经不得不报道了一系列与波塞冬集团相关的消息。然而,并没有人意识到这些碎片信息能够拼凑起来并指向单一威胁发起者。也许这是因为该集团针对特定设备使用定制化攻击手段,而且同时使用英语与葡萄牙语,并使用位于国家的不同临时性命令与控制服务器,甚至借各恶意企业之名发布不同凭证等等。通过对各类证据进行悉心收集,并借此对攻击者时间轴加以重构,我们发现其最终指向的是同一个组织——其活跃周期最迟开始于2005年,甚至直到目前仍活跃在市场之上。

了解到这一点,GReAT研究人员们得以从广泛的报道当中突破混淆信息并提取出性状相似的恶意活动线索。但2015年内得到的样本变种信息仍然非常有限,目前得到的主要是与波塞冬集团相关的领导者及其秘密文件消息。

你们是何时发现这类针对性攻击的?

卡巴斯基实验室发现的首例该集团恶意活动样本源自2000年初。然而正如前面所提到,要对相关迹象及证据加以整理从而拼凑出事件的原貌确实相当困难。直到2015年年中,整条脉络才得到最终捋顺,这意味着我们能够确定期间的全部事件都源自同一威胁实施方——也就是我们所谓的波塞冬集团。

受害者有哪些?/能否透露攻击目标的相关信息?

攻击对象主要包括各能源与公共事业、电信、公共关系、媒体、金融机构、政府机关、一般性服务以及制造行业企业。受害者的地理分布在很大程度上今生于巴西、美国、法国、哈萨克斯坦、阿联酋、印度与俄罗斯。很多受害者在巴西拥有合资企业或者合作运营伙伴。受害者的重要性并非表现在数量层面,因为波塞冬集团针对的受害者普遍为大型(多为跨国)企业。

他们从目标设备中窃取到了哪些信息?

波塞冬集团的一大特征在于,其拥有一套活跃的基于域的网络发现体系。而这样的网络拓扑结构在典型的公司与企业当中极为常见。

这些公司中最具价值的资产感戴其专有信息、技术以及业务敏感信息,包括与投资以及股票估值等重要数据。波塞冬集团积极在企业环境中针对此类知识产权及商业信息进行窃取,此外偶尔也会收集与高管相关的个人信息。

波塞冬的APT高级工具如何感染目标计算机?

波塞冬集团的主要感染途径是利用包含RTF/DOC文件的鱼叉式钓鱼电子邮件,且主要配合与人力资源相关之引诱信息。这些可执行文件也常常配合数字签名,有时甚至会被藏在备用数据流内以骗过目标的安全防御措施。波塞冬的工具包涉及大量杀毒软件供应商,并凭借着多年经验以攻击或者欺诈这些防御体制,并以此作为极为有效的感染手段。一旦感染成功,其将会向命令与控制服务器提交报告,而后实施复杂的横向移动。此阶段通常会利用一款能够自动收集广泛信息的特定工具,具体包括凭证、群组管理策略甚至是系统日志,旨在更好地实施进一步攻击并确保其恶意软件得以执行。通过这种方式,攻击者们能够在不致引发警报及网络管理员注意的前提下了解到自己所能利用的应用程序及命令。

波塞冬集团的目的是什么?目标设备被感染后又会发生什么?

一旦目标设备被成功侵入,攻击者会首先检查目标系统中的所有服务以及运行在系统中的全部进程。在此之后,攻击者会在本地设备与网络当中搜索全部管理员账户。这项技术允许他们实现网络资源映射并在网络当中采取后续操作,从而顺利登陆至最适合进行恶意操作的目标设备。由此可见,波塞冬集团对于Windows网络管理机制非常熟悉。在多数情况下,他们最感兴趣的是域控制器。

除此之外,恶意软件还会面向硬编码命令与控制服务器进行报告并建立后门连接,这样攻击者就能够拥有一条永远性远程连接。

波塞冬集团使用哪些恶意工具?它们各拥有哪些具体功能?

波塞冬集团利用多种工具实现恶意目标。他们的主要感染工具自2005年以来就一直在悄然演进,而且除了一部分残存代码仍在继续使用外,其余部分一直针对新型操作系统及特定活动而进行调整。值得强调的是,除了波塞冬工具包之后他们还采用IGT supertool(信息收集工具包),这个体积为15MB的可执行文件能够对一系列不同信息收集步骤、筛选机制以及整理组件进行编排。这款工具的设计初衷似乎是为了操作各类高价值企业系统,例如域控制器或者IIS服务器等有价值信息资源库,特别是用于实现横向移动。另外,信息收集工具(简称IGT)利用Delphi进行编码并包含有跨越十几项不同功能模块的powershell与SQL组件。这款工具还包含多个由不同编程语言编写的其它可执行文件,从Visual Basic 6到C#皆有涉及,这些文件各自拥有明确的任务以自对象处收集更多信息。IGT工具的主要目标在于对所指向系统进行调查,保存来自网络接口及地址的信息、归属于域及数据库服务器的凭证、运行自操作系统的各项服务以及其它一切能够帮助波塞冬集团以定制化方式对受害者发起攻击的资讯。

攻击者们是否有使用零日漏洞?

对相关样本的分析并没有发现任何零日漏洞。波塞冬集团通常诱导用户点击包含在Word以及RTF文档文件中的可执行文件,即利用这种包含有恶意宏脚本的带毒文件侵入其既定攻击目标。根据我们就其它针对性活动开展的调查,社交工程与精心设计的鱼叉式钓鱼攻击仍然充当着高效入侵目标系统的重要途径。

这是否属于单纯面向Windows系统的威胁?哪些Windows版本会受到影响?

波塞冬集团主要面向微软Windows操作系统家族,特别是针对各个版本推出定制化感染方案,从而收集不同信息并在初步感染成功后潜藏自身行迹。其它常见于企业环境中的产品——例如SQL服务器——则会被用于实现横向移动,同时由波塞冬集团精心设计的定制化工具集实现凭证收集。由于波塞冬集团已经拥有相当长的发展历史,因此其针对Windows系统的恶意活动样本可以追溯到Windows NT 4.0 Server以及Windows 95 Workstation时代,而如今受影响的新版本则包括Windows 8.1及其同时代服务器版本(服务器版本对他们非常重要,特别是考虑到其在企业环境下对域控制器的高度重视)。

波塞冬集团的方案与其它针对性攻击有何不同?

其恶意活动区别于其它组织的主要特征在于勒索元素。他们之所以要收集敏感数据,是为了强迫受害者与之交换竞争对手信息或者利用其支持波塞冬作为正常企业的所谓“财务预测”产品,并借此威胁到行业间的正常竞争关系。另外,这也有史以来首例为公众所知晓的葡萄牙语针对性攻击活动。

波塞冬集团的恶意软件是否存在多个变种?各变种之间是否存在明显区别?

波塞冬集团自2005年左右起即持续对自身工具包加以演进。该恶意软件并不能回避检测,但其表现并不起眼,研究人员起初从未怀疑过其与大量恶意活动有关——即充当这些恶意活动的初始手段。而另一大完全不同的组件则会在波塞冬方面接触到关键性设备时起效——例如企业中的域控制器。而主要收集任务则由IGT(即信息收集工具)工具包负责实现。

波塞冬集团使用的命令与控制服务器是否仍处于活动状态?你们能否定位到任何命令与控制服务器?

波塞冬集团在命令与控制服务器的使用方面拥有诸多非常有趣的作法,包括在特定活动结束后对命令与控制服务器进行快速清理与丢弃。这实际上让我们得以快速定位到几个相关域。其中一部分仍然处于活动状态并试图向命令与控制服务器发送报告,这又给故事增添了新的乐趣。正如卡巴斯基实验室发布的安全网络空间报告所显示,我们已经确定并接触了多位受害者,为他们提供安全解决方案乃至违规指标(简称IOC)机制以应对这类主动感染。在这一过程中,我们也得以确认之前提到的波塞冬集团所采取之行动流程。

这是否属于民族国家支持之攻击?谁该为此负责?

我们认为这不太可能属于民族国家支持之攻击活动,而更像是商业威胁行为。通过与信息共享合作伙伴与受害者的协作,我们意识到相关事故中更多复杂的商业周期情报,这也为我们追踪相关活动带来了巨大帮助。该恶意软件在设计上旨在针对采用英语及葡萄牙语的系统,而这也是我们发现的首个葡萄牙语针对性攻击案例。

这些攻击者的活动周期已有多长时间?

这些攻击者的活动周期已经超过十年。其早期活动样本可追溯至2005年,而且在此之前也出现过某些异常状况。

解析“海神波塞冬”:一支目标明确的全球性高水平网络间谍组织  安全脉搏整理发布】

源链接

Hacking more

...