赛门铁克(Symantec)的MATI团队于近日发文称,被其命名为“Seedworm(也被称为MuddyWater)”的网络间谍团伙仍在保持活跃。自今年9月份以来,已经有来自30家组织的130人成为了该团伙的受害者。
MATI团队表示,他们在最近发现了一个新后门,并将其追踪为“Backdoor.Powemuddy”。这个后门被认为是Seedworm的Powermud后门(又名POWERSTATS)的一个新变种。POWERSTATS是一个GitHub存储库,被Seedworm用来存储攻击脚本。
在今年9月份,MATI团队在某石油生产国驻巴西大使馆的一台电脑上发现了Seedworm和另一个间谍团伙APT28(又名Swallowtail和Fancy Bear)留下的攻击痕迹。
在进一步的调查中,MATI团队发现了上述Powermud后门的新变种(即Backdoor.Powemuddy),以及一些能够用来窃取密码、创建反向shell、提升权限和使用Windows自带的makecab.exe来创建CAB文件(Windows的压缩格式,可以用WinRAR打开)的自定义工具。很显然,攻击者是想要先对收集到的数据进行压缩,然后再上传。
Seedworm被认为是一个网络间谍团伙,目的是收集有价值的情报,从而为其资助者牟利。在最新的活动中,该团伙使用的工具与在过去入侵中使用的工具一致,包括Powermud和自定义PowerShell、LaZagne和Crackmapexec脚本。
Seedworm通过网络代理来操控它的Powermud后门,以隐藏实际的命令和控制(C&C)服务器。需要说明的是,Seedworm是唯一一个被观察到使用Powermud后门的团伙。
在攻破一个系统(通常是安装Powermud或Powemuddy)之后,Seedworm首先会运行一个工具来窃取用户在网页浏览器和电子邮箱客户端中保存的密码。这也反映出,访问受害者的电子邮箱、社交媒体和聊天账户很可能是该团伙的目标之一。然后,Seedworm会使用LaZagne和Crackmapexec等开源工具来获取Windows授权凭证。需要说明的是,虽然Seedworm通常使用的都是这些工具的现成的、未经过修改的版本,但他们同样也会使用经过修改的自定义版本。
自Seedworm首次被发现以来,MATI团队已经看到了Seedworm多次改变它的运作方式。自2017年初以来,该团伙不断更新其Powermud后门和其他工具,以避免被发现,并阻止安全研究人员分析这些工具。另外,该团伙还选择了使用GitHub来存储恶意软件和一些开源工具,然后使用这些工具的自定义版本来开展攻击活动。
MATI团队表示,他们已经确定了多个可能与Seedworm相关联的在线账户。第一个便是上述提到的Github存储库,其中存储的脚本与在Seedworm活动中观察到的脚本完全匹配。另外,有一个Twitter账户也被发现关注了许多安全研究人员,其中就包括了那些曾发表过有关该团伙分析文章的人,以及编写该团伙所使用的开源工具的开发人员。
这些在线帐户很可能是由Seedworm控制的。例如,Github存储库中的一个PowerShell脚本就被发现在Seedworm的活动中的受感染主机上运行,另外还有许多Crackmapexec PowerShell命令也与Seedworm的活动相匹配。
MATI团队表示,选择使用开源工具,允许Seedworm只需要稍微修改其他人编写的代码,就可以迅速更新它的活动。
如下图所示,MATI团队对131名受害者进行了分类整理。值得注意的是,这些受到Seedworm的Powermud后门感染的受害者全都是在今年9月底到11月中旬这短短数个月时间里出现的。
图1.按地理位置划分的Powermud受害者
这些Seedworm受害者主要位于巴基斯坦和土耳其,但也包括其他一些国家/地区,如俄罗斯、沙特阿拉伯、阿富汗和约旦等。此外,该组织还攻破了一些与中东有来往的欧洲和北美组织。
图2.中东的Powermud受害者
在对Powermud受害者的分析中,MATI团队能够确定131名受害者所对应的80个行业。如下图所示,电信和IT服务行业显然是最主要的攻击目标。鉴于电信运营商或IT服务机构和供应商能够为攻击者提供更多潜在的受害者,分属于这两个行业的实体通常都是最受攻击者欢迎的目标。
图3.按行业划分的Powermud受害者
下一个最常见的受害者群体来自石油和天然气行业。在这个群体中,有11名受害者都来自一家活跃在中东的俄罗斯公司。在这11名受害者中,只有一人居住在俄罗斯,其余分别居住在北美、中东、非洲和亚洲。
大学和大使馆是下一个最常见的攻击目标。这些大学主要位于中东,而大使馆主要是设在欧洲的中东国家大使馆。另外,还有两个非政府组织也遭到了攻击。在MATI团队确定的受害者名单中,有7名都来自公共卫生组织。
目前,赛门铁克已经向其合作伙伴通报了Seedworm的最新目标、工具和技术。
在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。
美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。
根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。
获取安全动态