1. 威客安全首页
  2. 安全资讯

针对中东石油能源工业控制系统的又一网军诞生


自打石油,天然气等资源被合理开采和利用后,中东地区给人的体验,基本就是富的流油,流的连飞机模型和真正的飞机都区分不清,3.29欧元和3.29亿欧元之间的区别,可能仅仅是觉得价格有点贵,但仍然是合理的。


针对中东石油能源工业控制系统的又一网军诞生

当然,有钱赚的地方,就会有争端,更何况中东地区之间的矛盾与纷争已经不是一年两年的事情,此前黑鸟在某课上也大概讲了讲关于中东之间的矛盾点,以及衍生的网络战争,为去敏,打码部分自行脑补。

针对中东石油能源工业控制系统的又一网军诞生


如上图所看,还有很多的中东网军并没有罗列进去,诸如muddywater,野山猫,甚至各类间谍机构,如大名鼎鼎的以色列摩萨德,伊朗圣城旅。


而今天要谈的是一个新披露的中东网军,其名目前有两,一为HEXANE(正己烷),二为 LYCEUM(阅览室)。


由于该网军大多针对中东的能源组织发起攻击,而dragos对其命名为HEXANE(正己烷)更为贴近组织特征(深得黑鸟欢心),因此下文均已该名称进行阐述。

针对中东石油能源工业控制系统的又一网军诞生


HEXANE主要针对工业控制系统(ICS)的相关实体发起攻击。主要目标是中东的石油和天然气公司,包括科威特作为主要经营区域。


针对中东石油能源工业控制系统的又一网军诞生


HEXANE还针对中东,中亚和非洲的电信供应商发起攻击,目的可能是为了成为网络流通的中间人以图拦截流量,或用作相关攻击的跳板。


与其他组织一样,该组织也会通过分发恶意文档进行攻击,这些文档会释放恶意软件以为后续活动建立立足点。虽然该小组至少在2018年中期开始运作,但活动在2019年初至中期频繁进行。这一时间表,目标和增加的行动恰逢中东目前的紧张局势升级,充分表明目前的政治和军事冲突领域


域名注册表明,2018年中期该组织的一项活动主要针对南非目标。在2019年5月,其发起了一场针对中东石油和天然气组织的攻击活动。


HEXANE针对电信供应商的行为体现出APT组织的针对供应链攻击趋势。

首先针对工业控制系统ICS的攻击越来越多地瞄准潜在目标供应链中的第三方组织。

例如,在2018年,针对几家工业原始设备制造商(OEM)以及硬件和软件供应商的APT组织XENOTIME。其通过攻击ICS系统内的目标所使用的设备,固件或电信网络,从而可能通过受信任的供应商进入受害环境,并绕过实体的大部分网络安全防护。


HEXANE表现出与MAGNALLIUM和CHRYSENE攻击组织存在的相似之处。

可见他们公司比较喜欢使用化学符号作为攻击组织的代号。


MAGNALLIUM (镁)= APT33

针对中东石油能源工业控制系统的又一网军诞生


CHRYSENE(屈) = APT34(OilRig)

针对中东石油能源工业控制系统的又一网军诞生


这两个组织均会针对ICS目标进行攻击活动,同样主要集中在石油和天然气,而一些行为和最近观察到的战术,技术和过程(TTPs)是相似的。与HEXANE一样,APT33也在2019年初至中期增加了活动。并且最近针对美国政府和金融机构以及石油和天然气公司的APT33活动中,曾试图访问同个目标组织的计算机。



HEXANE工具包


HEXANE最初使用通过密码暴力破解的方式获得的帐户权限。并通过这类账户发送带有恶意Excel附件的电子邮件,其中文档会释放DanBot恶意软件,并部署后渗透工具。


工具包如下:

  • DanBot – 第一阶段远程访问木马(RAT),使用基于DNS和HTTP的通信机制,提供基本的远程访问功能,包括通过cmd.exe执行任意命令以及上传和下载文件的能力

  • DanDrop – 嵌入在Excel XLS文件中的VBA宏,用于释放DanBot

  • kl.ps1 – 基于PowerShell的键盘记录器

  • Decrypt-RDCMan.ps1 – PoshC2框架的一部分

  • Get-LAPSP.ps1 – 来自PowerShell Empire框架的基于PowerView的脚本


DanBot


DanBot使用.NET Framework 2.0以C#编写,并提供基本的远程访问功能。

DanBot的C2协议的DNS隧道传输使用IPv4 A记录和IPv6 AAAA记录进行通信。自2018年初的样本以来,HTTP通道略有改动,但始终保留了共同的元素。

图1显示了DanBot硬编码用户代理中的拼写错误:操作系统值之后的&符号黑鸟友情提醒可以加特征。

代码中的其他拼写错误包括关键元素之间缺少空格以及Accept-Encoding标头中的“Enconding”拼写错误。开发人员的所有DanBot样本中始终使用“Accept-Enconding”(注意额外的’n’)。该错误可以促进对C2协议的基于HTTP的元素的网络检测。

针对中东石油能源工业控制系统的又一网军诞生

图1.早期的2019年DanBot示例HTTP请求。


DanDrop


攻击者使用此恶意宏武器化文档中,提取DanBot Payload,然后使用计划任务Base64解码并安装恶意软件。

宏的基本形式和功能在分析的样本中保持不变,但是攻击者已经进行了渐进式改进以混淆宏并重构某些功能。


kl.ps1


kl.ps1是一个自定义键盘记录程序,它使用PowerShell编写并利用Microsoft .NET Core框架的一部分。它获取受害者设备上的窗口标题和键盘记录,并将它们存储为Base64编码数据。它还使用计划任务和VBScript文件进行持久化部署。图2显示了用于运行键盘记录器脚本的命令行。

针对中东石油能源工业控制系统的又一网军诞生

图2.重建的PowerShell命令。


解密 – RDCMan.ps1


Decrypt-RDCMan.ps1是PoshC2渗透测试框架的一个组件。它用于解密存储在RDCMan配置文件中的密码凭据,密码可用于与文件存储服务器快速建立远程桌面会话。

恢复的凭证可以使攻击者在环境中获得额外的访问权限。该组织会在获得初始访问权限约一小时后通过DanBot部署此工具。


相关:

https://github.com/nettitude/PoshC2

https://github.com/nettitude/PoshC2/blob/master/Modules/Decrypt-RDCMan.ps1


GET-LAPSP.ps1


Get-LAPSP.ps1是一个PowerShell脚本,通过LDAP从Active Directory收集帐户信息。其使用了其他框架的代码并且已经使用诸如invoke-obfuscation之类的混淆脚本运行。该组织在初次受害者设备后不久就通过DanBot部署了此工具。


相关:

https://github.com/danielbohannon/Invoke-Obfuscation


攻击组织的目标第一站:人力资源和IT


2019年5月上传到外网的样本名称为“工业系统控制编程”。

对文档内容的肤浅分析可能会得出结论,本文档适用于使用工业控制系统(ICS)或操作技术(OT)的个人。

但是,本文档的真实内容是跨越多个部门的培训计划,其中ICS位居榜首。


这种培训一般针对高管,人力资源员工和IT人员,恰恰这些均为HEXANE的攻击目标。


HEXANE通过鱼叉式网络钓鱼使用已经攻陷的账户向目标高管,人力资源(HR)员工和IT人员发送钓鱼收件。

因为发件人为内部邮箱可信度较高,基本都会打开,而在感染远控后,下一步将会通杀整个工业控制系统。


2018年的几个活动(见图3)。


针对中东石油能源工业控制系统的又一网军诞生

C2基础设施


LYCEUM使用PublicDomainRegistry.com,Web4Africa和Hosting Concepts BV注册商注册基础架构。新域名似乎已针对各个攻击系列进行注册。


该组织通常会在注册后的几周内使用该域名。而域名通常具有安全性或Web技术主题


针对中东石油能源工业控制系统的又一网军诞生



结论


没啥结论,重要的提醒便是,做好检测规则,做好防护,能源和工业控制系统ICS的注意类似攻击的防范,毕竟境外势力,哪都会渗透,利益攸关都是敌人。


组织活动信息

https://dragos.com/resource/hexane/


内附IOC信息

https://www.secureworks.com/blog/lyceum-takes-center-stage-in-middle-east-campaign



例行文末求关注。

针对中东石油能源工业控制系统的又一网军诞生

求一斤原油!

原文始发于微信公众号(黑鸟):针对中东石油能源工业控制系统的又一网军诞生

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论