连接太门的点:过去10年的地球奥吉斯

地球Aughisky的崛起 跟踪活动Taidoor开始 CHLei 趋势科技法律免责声明 此处提供的信息仅用于一般信息和教育目的。它不打算也不应该被解释为构成法律意见。本文所包含的信息可能并不适用所有的的情况，可能并不反映最新的情况。 没有包含在此应该依赖或采取了行动 在没有得到法律咨询的情况下，根据本文件中的任何内容都不应被理解为是对特定事实和情况的解释。趋势科技保留在任何时候修改本文件内容的权利，而无需事先通知。 将任何材料翻译成其他语言是 仅作为一种便利。我们不保证也不暗示翻译的准确性。如果出现任何与翻译准确性有关的问题，请参考语文官方版本的文件。任何翻译中产生的差异或分歧不具有约束力，对遵守或执行的目的没有法律效力 。 尽管趋势科技已作出合理努力，以包括趋势科技在此提供准确和最新的信息，但对其准确性、时效性或完整性不做任何保证或陈述。您同意 访问和使用和依赖文档 以及其中的内容，风险由你自己承担。趋势科技拒绝提供任何形式的明示或暗示的保证。趋势科技或参与创建、制作或交付本文件的任何一方均不对任何后果、损失或损害负责，包括直接的。间接的、特殊的、后果性的、商业利润的损失。由于访问、使用或无法使用或与使用本文件有关的任何原因，或其内容的任何错误或遗漏而引起的任何特殊损害。使用本信息构成接受在"现状"条件下使用。 发表的 趋势科技的研究 写的 CHLei 趋势科技 在Shutterstock.com和Envato.com授权下使用的图片。 Raimund基因(1963-2017) 内容 4 介绍 8 恶意软件 25 归因 36 起源 37 更新和变化 40 结论 42 妥协的指标(国际石油公司) 43 主教法冠ATT&CK 10多年来，安全研究人员一直在分享高级持续性威胁（APT）组织EarthAughisky（又称Taidoor）的活动和恶意软件家族的威胁情报。我们的监测使我们能够了解这个APT组织的活动、技术发展以及与其他网络间谍和网络犯罪集团的工作关系，并将其归入其中。虽然在事件响应和分析过程中出现了一些模式，但该组织在网络间谍活动中的长期存在既没有动摇，也没有随着时间的推移而变得可预测。EarthAughisky仍然是一个强大的威胁，并继续扰乱关键企业、政府组织和公共服务等的日常运作。最近几个月，这个网络间谍组织甚至扩大了行动，以更多地区、高价值人员和组织为目标。 在这项研究中，我们研究了以前与EarthAughisky有关的不同恶意软件家族和程序，以及我们对尚未归属于该集团的恶意软件的见解。我们还包括连接这些恶意软件家族的重叠技术细节，以及这些程序与迄今为止活跃在网络间谍和网络犯罪中的其他APT团体的联系。最后，我们分析了该APT组织最近在活动、目标和部署方面发生变化的可能原因，以及这些变化对网络安全和现实世界事件的潜在影响。 注意到该组织获得了无数的资源，EarthAughisky仍然是一个威胁，并可能利用他们在网络间谍和网络犯罪方面的悠久历史。该组织以前和未来的潜在目标可以从不断学习、调整和加强其启用的安全措施中受益，以减轻EarthAughisky在这些动荡时期可能造成的风险和损害。 介绍 虽然远程访问特洛伊木马（RAT）Taidoor在十多年前就已被披露1，但随着受害组织对运营中断的清理，关于高级持续性威胁（APT）组织EarthAughisky的活动和活动的报告2继续3浮现4。该组织不断更新5恶意软件的程序，以管理安全解决方案的发展，随着该组织改进6其战术，仍然是一个可怕的威胁。在过去十年中，EarthAughisky已经部署了一些相关的恶意软件来促进他们的攻击，并注意到他们不同程度的复杂性。 该集团的目标7主要是在台湾发现的实体，8我们的解决方案的传感器检测到他们位于该国的目标受害者的95%。然而，近年来，我们注意到EarthAughisky的活动从2017年底和2018年开始延伸到日本。 我们的传感器在2017年底捕捉到了第一批针对日本的活动，与2018年观察到的部署的公开报告相匹配。这种额外的目标也可以被视为支持本研究后半部分讨论的组织变化。EarthAughisky主要针对政府机构，其次是关键行业的大量企业受害者10。 政府 57.7% 技术 4.3% 电信 11.1% 运输 3.7% 制造业 9.2% 医疗保健 1.2% 重 6.7% 其他人 6.1% 图1.按行业分布的EarthAughisky的目标 与其他APT组织类似，EarthAughisky的网络间谍活动也被密切监视和跟踪。该组织使用鱼叉式网络钓鱼作为一种常见的进入手段。一旦进入他们的目标系统，我们观察到各种逃避检测的努力，如滥用合法的用户账户和功能，利用薄弱的网络架构设计，以及部署后期的后门，以尽可能长时间地停留。虽然一些机构讨论了该组织渗出的信息的敏感性和类型，12但其他机构对这些细节保密。 自那时起，一些与EarthAughisky有关的恶意软件家族已经被不同的来源披露或讨论，而有些还没有被归属、记录或注意到。下表总结了我们认为属于EarthAughisky的恶意软件家族。 名字简单 Roudan(也称为Taidoor) 地球Aughisky第一backdoor13有关 Taleret(也称为Dalgan) 后门能够使用以下格式在博客或其他资源库中搜索配置：14,15•XXXXX加密配置XXXXX•阿耳特弥斯(加密配置)阿耳特弥斯 Serkdes(也称为Yalink) 在涉及日本组织的事件中发现后门 DropNetClient/Buxzop 滥用DropBoxAPI进行指挥和控制（C&amp;C）通信16 Kuangdao(也称为KD) 2020年披露的名为"Taidoor"的后门由一个自定义加载器MemoryLoad17,18加载。 Taikite(也称为Svcmondr) 在CVE-2015-2545的报告中提到，这个后门是由一个名为svcmondr.exe的可执行文件丢入系统的。 Specas 后门有时被识别为Taleret或Roudan LuckDLL 我们发现了这个新的后门，并观察到它自2020年以来一直处于活跃状态。 GrubbyRAT 具有独立配置文件的后门，经常在涉及关键行业的攻击中观察到。 K4RAT 后门,只包含一些基本的功能 ASRWEC下载器 从博客（hxxp://sites[.]google[.]com/site/yswbatthisurl/gua）或其他资源库下载最终的恶意软件有效载荷，并且加密的有效载荷遵循yxyyyxyy[加密的有效载荷]yxyyyxyy的格式。 Illitat下载器 用fc.asp和dw.html路径调用控制服务器，以下载实际的有效载荷。 好啦下载器 从博客（kaiwanxiao[.]pixnet[.]net/blog/post/366093431）或其他资源库下载实际的有效载荷，格式为*****[加密的有效载荷]*****。 SiyBot 我们发现这个后门滥用合法的应用程序，如Gubb或30Boxes，以进行C&amp;C通信。 名字简单 TWTRAT 我们发现这个后门滥用了社交媒体Twitter的直接信息功能来进行C&amp;C通信。 GOORAT 我们分析了这个后门，在博客或其他资料库中搜索一个命令，格式为XXXX[加密命令]XXXX。 表1.与EarthAughisky的活动有关的恶意软件摘要 Kuangdao Roudan (Taidoor) SpecasGOORATTWTRAT TaleretSiybotASRWEC Illitat 好啦 K4RAT Serkdes*GrubbyRAT TaikiteBuxzopLuckDLL 200720082009201020112012201320142015201620172018201920202021 图2。观察到的恶意软件活动时间表 (注意：Serkdes可能被不同的网络犯罪集团共享，详见Serkdes部分）。 每个恶意软件为每个地球Aughisky行动提供不同的目的。其中一些用于初始入侵，通常与鱼叉式网络钓鱼邮件或漏洞捆绑在一起，在这里，样本可以相对容易地获得。另一方面，一些恶意软件家族被用来保持长期的足迹，通过更复杂的技术激活，有时还包裹着一个额外的加载器。 在后期使用的后门中，很少有隐藏得比较多的，大多数时候只能在部署到高价值目标的常规程序中观察到。基于因素数量的方法变化减少了重要行动被破坏的机会，使重要的工具不太可能被披露。我们的观察表明，在被归类为"重要"的目标中 包括关键基础设施、政府机构和军事相关组织等行业。同时，"一般"目标包括其他行业的脆弱系统或办公室，如医疗保健部门。 分类的恶意软件的家庭使用 最初的入侵 Roudan,Taikite,ASRWEC/Comeon/Illitat下载器 后期有效载荷 Taleret、KuangdaoSpecasSerkdes 后期有效载荷:高价值目标 Buxzop,GrubbyRAT 短暂的/没有广泛使用 TWTRAT、SiyBotGOORAT 没有足够的数据来分类 LuckDLL,K4RAT 表2.每个活动目标观察到的恶意软件使用情况 恶意软件 本节详细介绍了我们对每个恶意软件的分析，包括它们的程序和重要特征。 Roudan(Taidoor) Roudan是10多年前披露的经典地球Aughisky恶意软件。多年来，不同的格式被用于回调流量，基本上包含一个编码的MAC 地址和一些随机数据。详细的恶意软件分析可在以前的报告中找到。 图3.鲁丹网络流量，其中1212121212是编码的MAC地址，为 010101010101.自2018年4月起，INTERNET_FLAG_SECURE有时被启用。 虽然"Taidoor"这个名字已经被广泛采用多年，但威胁行为者实际上将这种恶意软件命名为"Roudan"。在查看后门和后门构建器时可以观察到这个术语。少数样本包含Roudan的简体中文版本，即"肉弹”或“肉蛋”(尽管不是完全相同的,“肉弹”有意义相似的“炮灰”)。 图4。Roudan建筑商 图5.Roudan项目名称（哈希值：18c67331716ae672e46583700c4a3eb2abdaa61c），"ziliao"被写成"資料”,这仅仅意味着“ 数据” Taleret(Dalgan) Taleret恶意软件在2013年被披露，20并在不同的报告中反复提到21与Roudan/Taidoor。22,23,24该恶意软件在公共博客或其他资源库中搜索C&amp;C配置，并使用"XXXX"或"ARTEMIS"作为制造商来定位该配置。该配置可以使用RivestCipher4（RC4）密钥"C37F12A0"进行解密。 图6.在同一个博客上发现的两种不同类型的配置 从技术上讲，任何提供可配置内容的服务都可以被滥用来承载恶意软件的配置。根据我们的观察，还有其他网络服务嵌入到恶意软件内部。 图7.Taleret中一个特殊的配置主机设置，能够从博客和C&amp;C服务器中检索数据。在这个例子中，谷歌群组（哈希值 ：F2dfd3910017cd9b3798e9b9dce8ddcace5c6af6）和Facebook（哈希值： 0dfd5669f67a3a992817ca6db096a4cbeadc3257）被滥用来承载恶意软件的配置。 有两种不同的Taleret实现方式。一个比较简单的使用"XXXX"作为标记，而另一个使用"ARTEMIS"作为标记，它有更多的伴随功能。 XXXXX实现 一旦后门检索到实际的C＆C服务器，它继续保存配置到注册表 <Software\Microsoft\SysInternal>以防配置在下次无法使用。然后，该实施方案用CookieMCI和MUID回调到C&amp;C服务器。 MCI包含