美国软件安全初创公司ProtectWise的威胁研究与分析团队(401TRG)近日发布了一份长达45页的分析报告,指出中国的Winnti保护伞黑客组织正在不断调整策略,严重依赖鱼叉式网络钓鱼3354而非传统恶意软件3354进行入侵。报告认为,这些网络活动旨在收集合法的软件制造商代码签名证书,以支持后续的供应链攻击。
黑客温尼姆布瑞尔
温蒂伞(简称邹加欣,也称为公理或APT17)。
2013年,卡巴斯基实验室发现了Winnti。组织当时的攻击目标主要是网络游戏行业。事实上,从2009年开始,它就对网络游戏行业公司发起攻击,窃取合法软件供应商颁发的数字证书,窃取知识产权内容,包括网络游戏项目的源代码。该组织在获得源代码后,通常会在国内黑市上出售,或者直接利用源代码制作假游戏牟利。
2015年,Winnti组织的目标不再局限于网络游戏公司,还包括电信和大型制药公司。
ProtectWise研究人员分析了Winnti黑客组织多年来使用的TTP(战术、技术和程序)。Winnti这个名字来源于这个黑客集团使用的主要工具之一:Winnti后门。
温蒂保护伞黑客集团正在成为恶意势力的大熔炉。
此前,几个独立的黑客组织使用了与最初的Winnti黑客组织相同的战术和基础设施。经过多年观察操作错误和旧攻击基础设施的重用,研究人员得出结论,钡,邪恶熊猫,GREF和PassCV,这些以前被认为是独立的高级持续威胁(APT)组织,似乎共享一些Winnti技术成果和他们的基础设施。
401TRG研究人员指出TTP对基础设施和工作链的观察结果表明,各种黑客组织之间似乎有一些交集。
Winnti黑客组织主要针对IT人员。
根据该报告,目前,Winnti Umbrella Group的APT组织似乎显示出共同的入侵/行动模式:
攻击者似乎更倾向于通过鱼叉式网络钓鱼攻击渗透到单个目标。这些黑客组织主张收集凭据和登录帐户,而不是使用恶意软件来建立最初的立足点。
401TRG的研究人员在回顾2017年的安全事件时表示,他们观察到了一系列针对HR和招聘经理、IT员工和内部信息安全人员的鱼叉式网络钓鱼攻击,它们非常有效。
攻击者专注于收集网络凭据,然后在企业内横向移动。
之后,攻击者使用一种叫做以土地为生,即利用本地安装的应用程序达到恶意目的。此类入侵活动中常用的工具包括标准Windows工具,以及渗透测试工具,如Metasploit和Cobalt Strike。
此外,攻击者只在必要时部署恶意软件,以免自己的踪迹暴露,在目标网络中失去立足之地。
2018年3月,该组织出现致命疏忽。
报道称,这些黑客组织的战术在2018年略有变化。黑客利用钓鱼邮件试图获取包含敏感公司信息的Office 365和Gmail帐户。实际目标仍然集中在IT人员中,他们的目的或希望是访问内部网络中的工作站设备。在这个过程中,他们犯了严重的安全错误,暴露了核心行动信息:
在大多数情况下,攻击者使用他们的远程控制服务器来隐藏他们的真实IP地址。然而,在少数情况下,攻击者错误地直接访问肉鸡,而没有使用这些代理。
大多数网络活动都是获取代码签名证书。
研究人员表示,这些黑客团体主要专注于窃取代码签名证书、源代码和内部技术文档,他们也可能试图操纵虚拟经济以获取经济利益。虽然尚未得到证实,但其将金融机构作为次要目标的做法,很可能意味着其希望通过攻击来获取利益。
研究人员认为,从代码签名证书中窃取似乎是一个大共同目标由Winnti保护伞黑客组织下的APT组织设置。为了捕获代码签名证书,黑客们将注意力集中在位于美国、日本、韩国和中国的软件和游戏公司,因为这类组织更有可能持有这类证书。
温蒂正在策划一次供应链袭击。
研究人员认为,温蒂保护伞黑客集团正在收集资源和策划供应链攻击,比如用恶意软件感染官方软件,因为这类活动只要拥有有效的代码签名证书,就能成功欺骗安全监管人员的眼睛。
报道称,中国的黑客可能已经开始行动了。2017年,Winnti黑客入侵韩国软件开发商NetSarang,在其网络管理工具中秘密植入后门ShadowPad,让攻击者完全掌握NetSarang 来自客户的服务器。后门阴影垫类似于Winnti 的后门和一个类似的后门叫做PlugX。卡巴斯基表示,他发现ShadowPad是因为一个金融行业的合作伙伴发现一台用于转账业务的计算机正在发出奇怪的域名检查请求。当时,NetSarang 数百家银行、能源和制药公司使用了美国的工具。
另一份报告强调,云服务提供商正日益成为黑客的重要目标的攻击视野。在获得目标云服务的访问权限后,攻击者会搜索内网的文件和工具,远程访问企业内部网络。通常情况下,攻击者在成功获得访问权限后,会使用自动工具扫描内部网络,找到开放的端口80,139、445、6379、8080,20022和30304。
标签:黑客人员网络