印度多个商业、政府组织遭受间谍团体Suckfly攻击
时间:2016-06-17 17:31:46来源:互联网作者:安小白
在2016年3月,赛门铁克曾发表过一篇关于Suckfly攻击韩国组织,窃取数组证书的文章,Suckfly是一个网络间谍组织。调查发现,Suckfly自2014年4月,在两年间持续发起过一系列攻击。这些攻击都以政府或著名的商业组织为目标,虽然它们发生在不同的国家,但是主要目标是印度的个人和组织机构。
Suckfly使用其自定义的恶意软件Backdoor.Nidiran进行感染,而该恶意软件在印度地区的活跃度比其他地区都高。这表明,这些攻击是针对印度特定目标的有计划行动的一部分。
印度攻击活动
Suckfly的第一次活动开始于2014年4月,在此次活动中,多个跨行业的国际组织受到攻击,其中很多都是印度的知名商业组织,包括:
印度最大的经济组织之一大型电商公司该电商的主要供货商印度前五IT企业之一一个美国医疗保健机构的印度业务部两个政府组织
与商业目标相比,Suckfly花费更多精力攻击政府网络。并且两个政府组织中的其中一个感染率最高。
政府组织#2负责为印度中央政府的不同部门实施和部署网络软件,因此其高感染率可能是因为它拥有其他印度政府组织的技术和信息的访问权限。
Suckfly对为政府提供技术服务的政府组织的攻击并不限于印度,也对沙特阿拉伯实施了此类攻击。
图二展示了根据行业分类的Suckfly攻击目标,大部分的攻击目标为政府和技术相关的企业和组织。
Suckfly攻击的生命周期
通过分析其中一次的攻击行为,我们详细分析了Suckfly的攻击流程。2015年4月22日到5月4日间,Suckfly对印度的一家电商组织实施了一次多级攻击。与其他攻击类似,Suckfly使用了Nidiran后门和多个黑客工具来感染目标的内网主机,这些工具和恶意软件使用了之前失窃的数字证书进行签名。在此期间,以下事件发生:
1、确认目标用户。虽然我们没有Suckfly如何获取目标信息的确凿证据,但是我们发现最初的目标中存在大量的开源数据,工作职能、公司邮箱地址、项目信息和公开可访问的个人博客都可以轻易在网络上找到。
2、2015年4月22日,Suckfly借助目标操作系统(Windows)中的一个漏洞,该漏洞允许攻击者让用户账户控制并安装Nidiran后门,来获取了系统的访问权限。虽然我们知道Suckfly使用了一个自定义的dropper安装后门,但是并不知道它的传播载体,根据目标的开源信息,我们猜测很可能他们使用了钓鱼邮件。
3、通过利用员工的操作系统,他们获取了电商企业的内网访问权限。证据表明,Suckfly使用了黑客工具进行横向移动和权限提升。Suckfly使用已签名的credential-dumping工具获取用户证书,使用该证书,攻击者就可以登录受害人账户,以员工身份进入内网。
4、4月27日,攻击者扫描了内网中8080、5900和40端口开放的主机。8080和5900端口是合法协议的通用端口,但是当这些端口不安全时就可能会被攻击者利用。目前尚不清楚攻击者为何会扫描40端口,因为它并不是常见协议使用的端口。通过攻击者扫描端口可以看出,他们企图扩大在内网中的立足点。
5、最后一步就是提取内网中的信息到Suckfly基础设施中。然而,我们知道Suckfly通过Nidiran后门窃取组织的信息,但不知道他们是否获取了其他信息。
这些攻击步骤发生在13天的攻击周期中的特定几天。在追踪他们使用黑客工具的具体时间时,通过分析使用命令行驱动的黑客工具,发现该组织只在星期一到星期五保持活跃状态。
Suckfly的命令和控制指令
Suckfly的恶意软件难以解析,进而在一定程度上限制了防护软件的检测。但是我们成功分析了Suckfly的恶意软件样本,并提取Nidiran后门和Suckfly命令控制服务器之间的通信。
该可执行文件包含以下三个文件:
1、dllhost.exe,.dll文件的主要host
2、iviewers.dll,用于下载加密的负载并解密
3、msfled,加密的负载
这三个文件是恶意软件正常运行必不可少的文件。一旦恶意软件成功执行,就会在运行前检查是否连接到网络。如果测试成功,就会通过443和8443端口向C&C服务器发送通信请求。分析发现,这两个端口和C&C信息被加密并硬编码到Nidiran恶意软件本身。Nidiran后门向C&C服务器发送如下初始化通信请求:
GET/gte_ok0/logon.php HTTP/1.1Accept:*/*Accept-Encoding:gzip, deflateUser-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR1.1.4322;.NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.4506.2152;.NETCLR 3.5.30729) Host:REDACTEDConnection:Keep-AliveCookie:dfe6=OIAXUNXWn9CBmFBqtwEEPLzwRGmbMoNR7C0nLcHYa+C1tb4fp7ydcZSmVZ1c4akergWcQQ==
该信息被发送到有以下内容组成的cookie中:
[COOKIENAME]=[RC4 ENCRYPTED + B64 ENCODED DATA FROM VICTIM]
样本中的RC4加密密钥是硬编码的字符串“h0le”。一旦该cookie数据被解码,Suckfly就会获取网络名、主机名、IP地址和操作系统信息。
C&C的指令信息见下表:
| Domain | Registration | IP address | Registration date |
|---|---|---|---|
| aux.robertstockdill[.]com | kumar.pari@yandex[.]com | Unknown | April 1, 2014 |
| ssl.2upgrades[.]com | kumar.pari@yandex[.]com | 176.58.96.234 | July 5, 2014 |
| bss.pvtcdn[.]com | registrar@mail.zgsj[.]com | 106.184.1.38 | May 19, 2015 |
| ssl.microsoft-security-center[.]com | Whoisguard | Unknown | July 20, 2015 |
| usv0503.iqservs-jp[.]com | Domain@quicca[.]com | 133.242.134.121 | August 18, 2014 |
| fli.fedora-dns-update[.]com | Whoisguard | Unknown | Unknown |
总结
Suckfly以众多印度商业组织和政府组织为目标,所有的这些目标都是对印度经济起到关键性作用的大企业。通过攻击这些目标,Suckfly会对印度及其经济造成重大影响。
Suckfly有足够的资源来开发恶意软件,购买基础设施,多年来开展有针对性的攻击并且关闭了组织的安全雷达。在此期间,他们从韩国公司窃取数字证书,针对印度和沙特实施攻击。目前没有证据表明Suckfly从这些攻击中获取利用,但是总会有人获利。
Suckfly攻击的性质表明,不太可能是他们自己组织了这些攻击。我们相信,Suckfly将继续瞄准印度和其他国家的类似组织,以为Suckfly背后的组织提供经济情报。