译者:知道创宇404实验室翻译组
原文链接:https://www.domaintools.com/resources/blog/current-events-to-widespread-campaigns-pivoting-from-samples-to-identify#

1、前言

网络威胁情报(CTI)专员可通过跟踪地缘性紧张局势来深入了解对手行动。与刑事调查中的“遵循金钱”方法类似,查看冲突区域可以揭示相关网络功能。

上述理论得到了地缘政治紧张局势相关事件的验证:

根据先例,分析人员可以通过跟踪与重大事件和冲突区域有关的标识符来确定对手作战和技术能力的发展,洞悉黑客的手段和行为,并为以后可能发生的网络攻击事件提供防御和响应。

2、最初的发现:高加索冲突

考虑到上述论点,DomainTools研究人员围绕2020亚美尼亚和阿塞拜疆高加索地区的冲突开展研究。在调查过程中,研究人员发现了以下恶意文档文件:

Name: PKK militants in Nagorno-Karabakh.doc
MD5: e00af9b6303460666ae1b4bdeb9503ba
SHA1: ce810173555d6a98ce10c847f16e95575fe13405
SHA256: 7c495c21c628d37ba2298e4a789ff677867521be27ec14d2cd9e9bf55160518f

该文件伪装成新闻报导,内容涉及有关高加索冲突的详细信息,其中包含对外部站点的引用,该外部站点用于向受害者的计算机获取其他材料:

入侵的7个阶段。 其中1位于图片的顶部,7位于图片的底部。

在这种特定情况下,文档尝试与域“msofficeupdate[.]org”进行通信:

入侵的7个阶段。 其中1位于图片的顶部,7位于图片的底部。

总体而言,该文档似乎侧重于亚美尼亚与阿塞拜疆的冲突,并使用专用网络基础结构来实现攻击序列。虽然我们可以单独停下来查看该项目,但进一步的分析揭示了更多有趣的元素。

3、识别

文档和域都包含兴趣项,以供进一步分析和调整。回顾先前DomainTools博客中的课程,我们可以将与该活动相关的技术指标作为复合对象进行检查,并有机会识别基本的对手行为。

检查文档时,此处使用Phil Harvey的ExifTool显示的文件元数据表明存在一个长数字字符串作为模板对象:

入侵的7个阶段。 其中1位于图片的顶部,7位于图片的底部。

基于模板对象和硬编码的统一资源定位符(URL),文档将尝试与上面标识的域进行通信。恶意文档的实际功能取决于与攻击者域的网络通信,以及对资源的HTTP请求,例如:

hXXps://msofficeupdate[.]org/morgue6visible5bunny6culvert7ambo5nun1illuminate4

以下所有功能的出现取决于对此请求的响应。目前,DomainTools没有有关此响应可能返回的任何数据或其他信息。我们的分析仅限于文档本身和确定的网络基础结构。但是,黑客可能会在HTTP请求的URL模式中找到价值(单词除以单个数字),以开发网络入侵检测系统(NIDS)签名。

入侵的7个阶段。 其中1位于图片的顶部,7位于图片的底部。

除了缺乏后续执行的功能外,我们还有一个搜索字符串,可用于为其他文件样本添加指纹或在模板字符串中放置可能与原始广告系列有关的项目。值得注意的是,对于恶意文档,该项目不包含任何活动内容(ActiveX对象或Visual Basic for Applications [VBA]宏),这限制了我们识别其他项目的能力。但是,模板项看起来足够独特,可以用作标识类似构造的其他样本的指示符。

在基础架构方面,我们还有其他几条线索。正如以前在过去有关基础结构搜寻和分析的博客中所记录的那样,我们结合了与域名创建和托管相关的技术指标以及与域名本身相关的主题标识符。对于所讨论的域,如上面的上一个DomainTools Iris检查图像所示,以下观察结果成立:

  • 注册人电子邮件泄漏,“ gjdodson [AT] protonmail [.] com”。
  • 域名注册服务,“ PDR Ltd. d / b / a PublicDomainRegistry.com”。
  • 与域“ bitdomain [.] biz”关联的权威名称服务器。
  • 通过位于荷兰的提供商“ Web2objects Gmbh”,在专用服务器“ 46.30.188 [.] 236”上托管。
  • 通过Sectigo获得的SSL / TLS证书,标识信息有限。
  • 模仿Microsoft Office更新服务的域“主题”。

尽管上述任何一项单独地相对有限地无法确定敌对倾向或其他基础结构(无论是太笼统还是太具体),但结合起来,它们可以产生模式以供进一步分析。例如,寻找使用以Sectigo SSL / TLS证书托管在欧洲的名称服务器“ bitdomain [.] biz”通过PublicDomainRegistry通过域注册的以隐私为中心的电子邮件地址的组合,可以生成结果集以进行进一步分析。对此类调查的结果进行“主题”搜索,例如在域名中查找其他Microsoft或Office主题,可以标识其他与该广告系列相关的项目。

4、其他基础架构

根据上一节中描述的特征,DomainTools研究人员在估计概率或置信度的不同级别上,确定了35个与最初观察到的恶意域相关的模式匹配的域。如下表所示,我们可以观察到其他趋势,例如在注册过程中偏爱几种面向隐私的电子邮件服务,以及出于托管目的而过度关注欧洲虚拟专用服务器(VPS)提供程序。

Domain Date Created Registrant Email IP Address Hosting Provider Hosting Location Confidence
iphoneupdatecheck[.]com 2016-05-12 louie@brookes.openmailbox.org 91.236.116.166ZoomEye搜索结果 jaroslav88@tuta.io SE Medium
brexitimpact[.]com 2016-06-23 jaroslav88@tuta.io 185.112.82.7ZoomEye搜索结果)** Oy Creanova Hosting Solutions Ltd. FI Low
srv3-serveup-ads[.]net 2019-04-16 salemjoshi@protonmail.com 101.100.209.236ZoomEye搜索结果 Vodien Internet Solutions Pte Ltd SG Low
newoffice-template[.]com 2019-06-12 j.konnoban@email.cz 147.135.170.193ZoomEye搜索结果 OVH Hosting Inc. FR High
ms-check-new-update[.]com 2019-07-08 stivgarret@protonmail.com 87.121.98.51ZoomEye搜索结果 Tamatiya EOOD BG Medium
template-new[.]com 2019-08-28 N/A 66.70.218.38ZoomEye搜索结果 OVH Hosting Inc. FR High
user-twitter[.]com 2019-11-13 hostmaster@user-twitter.com N/A N/A N/A Medium
live-media[.]org 2019-11-27 sam.walker@tutanota.com 137.74.181.109ZoomEye搜索结果 OVH SAS FR Medium
officeupgrade[.]org 2019-11-29 alex.sval@tutanota.com 198.24.134.13ZoomEye搜索结果 Secured Servers LLC US High
template-office[.]org 2020-01-10 s.taylor87@seznam.cz 185.243.114.175ZoomEye搜索结果 Access2.it Group B.V. DE Medium
get-news-online[.]com 2020-01-15 laptev.vl.90@mail.ru N/A N/A N/A Low
liveinfo[.]org 2020-01-15 laptev.vl.90@mail.ru 91.195.240.87ZoomEye搜索结果 Sedo GmbH DE Medium
newoffice-update[.]com 2020-02-11 adam.crowld@protonmail.com 51.161.96.100ZoomEye搜索结果 OVH Hosting Inc. CA Medium
update-office[.]com 2020-03-03 paul_wilsonn@protonmail.com 192.52.166.12ZoomEye搜索结果 CrownCloud US LLC US High
upgrade-office[.]com 2020-03-18 p.borovin@protonmail.com 158.69.30.205ZoomEye搜索结果 OVH Hosting Inc. CA High
tls-login[.]com 2020-03-25 boxerkeen@protonmail.com 103.255.250.70ZoomEye搜索结果 EN Technologies Pte Ltd. SG High
upgrade-office[.]org 2020-04-07 pavel.savin1992@bk.ru 66.248.206.239ZoomEye搜索结果 Hostkey B.V. NL High
newupdate[.]org 2020-06-04 and.frolov@bk.ru 46.183.221.141ZoomEye搜索结果 DataClub S.A. LV Medium
2020-windows[.]com 2020-06-19 gmail.chrome.2020@mail.ru 176.107.181.128ZoomEye搜索结果 PE Freehost UA Low
petronas-me[.]com 2020-07-05 cgog.global@gmail.com N/A N/A N/A Low
msupdatecheck[.]com 2020-07-10 mike.barrett@tutanota.com 167.114.44.150ZoomEye搜索结果 OVH Hosting Inc. CA High
log1inbox[.]com 2020-08-15 vazquezftcathyo5123@gmail.com N/A N/A N/A Medium
gmocloudhosting[.]com 2020-08-17 hostmaster@gmocloudhosting.com N/A N/A N/A Low
msofficeupdate[.]org 2020-08-20 g.j.dodson@protonmail.com 46.30.188.236ZoomEye搜索结果 Web2Objects GmbH GB High
interior-gov[.]com 2020-08-31 gmail.chrome.2020@mail.ru N/A N/A N/A Low
e-government-pk[.]com 2020-09-04 gmail.chrome.2020@mail.ru N/A N/A N/A Low
e-govoffice[.]com 2020-09-07 hostmaster@e-govoffice.com N/A N/A N/A Low
azureblog[.]info 2020-09-25 yshevloin@protonmail.com N/A N/A N/A Low
rneil[.]ru 2020-10-01 hostmaster@rneil.ru N/A N/A N/A Low
N/A N/A N/A Low
weather-server[.]net 2020-10-09 lulgaborova90@protonmail.com N/A N/A N/A Medium
doc-fid[.]com 2020-10-21 hostmaster@doc-fid.com N/A N/A N/A Low
rarnbler[.]com 2020-11-09 nesmali20@cock.li 80.78.22.11ZoomEye搜索结果 Cyberdyne SE Medium
msofficeupdate[.]com 2020-11-10 emil.moreu@protonmail.com 185.25.51.24ZoomEye搜索结果 Informacines Sistemos IR Technologijos UAB LT High
netserviceupdater[.]com 2020-11-11 hostmaster@netserviceupdater.com N/A N/A N/A Medium
new-office[.]org 2020-11-13 moris.pelletier@yahoo.com 51.89.50.150ZoomEye搜索结果 OVH Hosting Inc. FR Medium

虽然大多数项目是在2020年创建的,但一些潜在的与网络相关的可观察到的事件可追溯到2016年。当与下一节中检查的恶意文档样本进行匹配时,我们开始看到持续冗长的攻击活动的轮廓。尽管时间延长了,但是在此期间,相同的基本网络行为会被观察到。

从视觉上观察,例如在下面的DomainTools Iris可视化图中,我们看到活动集群在名称服务器,注册商和顶级域(TLD)之间划分。随着人口的增加,我们可以开始提炼该对手的操作方法的更多方面,并有可能为将来的基础架构设计预测算法。

入侵的7个阶段。 其中1位于图片的顶部,7位于图片的底部。

5、其他样本

除了标识其他网络基础结构之外,查看原始文档以及取消观察到的网络基础结构的组合还会产生其他恶意文档样本。首先,唯一的模板数字字符串结合与域和文档主题的关系使发现其他项目成为可能。如下表所示,这些项目通过唯一的模板字符串以及与上面有关网络可观察物的分析相关的联系基础结构链接。

SHA256 File Namestrong First Seen Submitter Country Domain Contacted
1f117d5f398e599887ec92a3f8982751ceb83f2adb85d87a2c232906104e8772 C. Bayramov.doc 25 Jul 2020 AZ upgrade-office.org
4ad0e64e8ebed1d15fac85cd7439bb345824f03d8b3c6866e669c24a42901daa Scandal that killed 346 people.doc 29 May 2020 AZ upgrade-office.com
68bde4ec00c62ffa51cef3664c5678f1f4985eb6054f77a5190b4d62bd910538 xyz.doc 13 Sep 2020 TR msofficeupdate.org
7ba76b2311736dbcd4f2817c40dae78f223366f2404571cd16d6676c7a640d70 Фадеев М1.doc 18 Dec 2019 UA officeupgrade.org
7c495c21c628d37ba2298e4a789ff677867521be27ec14d2cd9e9bf55160518f PKK militants in Nagorno-Karabakh.doc 12 Oct 2020 AZ msofficeupdate.org
89503c73eadc918bb6f05c023d5bf777fb2a0de1e0448f13ab1003e6d3b71fef О поставке зенитных ракетных систем С-400.doc 11 Dec 2019 AZ officeupgrade.org
c630aa8ebd1d989af197a80b4208a9fd981cf40fa89e429010ada56baa8cf09d Планируемые расходы 2020(1).doc 28 Dec 2019 UA officeupgrade.org
e5a4957d0078d0bb679cf3300e15b09795167fdcfa70bbeab6de1387cd3f75bf Strategic Defence and Security Review (2021 SDSR).doc 31 Oct 2020 SI msofficeupdate.org
7a1effd3cfeecdba57904417c6eeaa7a74d60a761138885b338e8dc17f2c3fbc Справочник АП_26.10.2020_.doc 29 Oct 2020 UA msofficeupdate.org
0b116f5b93046c3ce3588bb2453ddbb907d990c2053827600375d8fd84d05d8b Новые поправки к Госпрограмме переселения в РФ (вст. в силу 01.07.2020).doc 16 Sep 2020 UA N/A
79c0097e9def5cc0f013ba64c0fd195dae57b04fe3146908a4eb5e4e6792ba24 N/A 16 Sep 2020 GB newoffice-template.com
d8f13e6945b6a335382d14a00e35bfefadbdfb625562e1120e5ed0b545f63e11 N/A 09 Nov 2020 N/A template-new.com
348b25023c45ed7b777fa6f6f635cb587b8ffbf100bfa6761d35610bba525a11 Минтруд госслужба.doc 04 Nov 2020 UA msofficeupdate.org
93279005aa4c8eddf01020b31bc2b401fe1366cbcc9bb2032ffaeb2984afcd79 Минтруд госслужба 1 1.doc 03 Nov 2020 UA msofficeupdate.org

如以下部分中更详细地描述,这些项目在很大程度上具有与高加索地区冲突或乌克兰持续冲突有关的主题。此外,它们从2019年12月延伸到2020年11月,这表明这项活动持续了将近一年没有发生重大变化。

除了这些项目外,DomainTools研究人员还确定了第二组文档,它们全部来自法国,具有“测试”主题,但与上述项目的各种特征匹配,例如唯一的Template字符串:

SHA256 File Namestrong First Seen Submitter Country Domain Contacted
29b49fc728510b8d10a84edbd884cd23a0c453c1158551dbd2d266539d5d09b5 testmw4.doc 18 Sep 2020 FR N/A
da43472f3bced232ae8f905e819339fb75da0224a31fb1c394110c77b3318b09 testmw8.doc 18 Sep 2020 FR upgrade-office.com
6478821432b8458053d953b6cff7d1b49f4349f5da366278778c87bc8789b65c testmw7.doc 18 Sep 2020 FR upgrade-office.com
4285a05a993359b8418b590d3309a361f2c42ef7bc29216c0209e57b74513adb testmw6.doc 18 Sep 2020 FR N/A
40b21a2cd054e01cf37eb22d041ef2ea652eaaeae0ba249439fa7ec07a4e9765 testmw5.doc 18 Sep 2020 FR aaaaaaa-aaaaaa.com
282c805363469440eef082ac0f2a52dbdd47a8cdaecc08df4c1b4c073c5a8256 testmw3.doc 18 Sep 2020 FR test.com
df2a85d84daf10b4dcf8d8fdd83493f3c04f2ac7b3edaf4730df0522cc52009f testmw2.doc 18 Sep 2020 FR N/A

上面的项目在其他文档中脱颖而出有几个原因:

  • 所有这些都在同一天提交给同一台多扫描仪服务。
  • 给定文件命名模式(testmw2,testmw3等),这些项目似乎是迭代的。
  • 根据文件名的迭代性质,对文件的分析表明其中文件的模糊或功能更改。

初步结论是,这些是针对恶意文档格式或模板的“测试”运行,这些格式或模板将在以后的活动中出现。但是,该结论成立的时机尚未定下来,因为“测试”项目出现在9月中旬,当时使用相同模板(功能和诱饵文档)的项目首次出现在2019年12月。

总体而言,由于没有明显的迹象将这批产品与其他广告活动联系起来,因此这批产品仍然是个谜。此外,所涉及的某些项目无法正常运行,或缺少与可能持续的活动相关的第一组文档中的活动相关的其他组件。目前,DomainTools没有任何其他信息可以处置这些项目,因此,相对于其他间谍软件而言,这些间谍软件仍然是一个谜,而其他恶意文档似乎更明确地设计用于间谍目的。

6、动机和归因

识别出的文件来自多个地方,但绝大多数集中在阿塞拜疆和乌克兰。

入侵的7个阶段。 其中1位于图片的顶部,7位于图片的底部。

与文档中的文本和标题相关的主题仍然更加有趣。除了引发这次调查的文件及其围绕最近高加索地区冲突的主题外,确定的主题还包括:

  • C. Bayramov.doc:引用了阿塞拜疆外交大臣Ceyhun Bayramov。
  • ФадеевM1.doc:作为纪录片电影制作人的募捐广告,介绍了乌克兰顿涅茨克地区(冲突地区)的事件。
  • ОпоставкезенитныхракетныхсистемС-400.doc:伪装成S-400防空系统的报告,由俄罗斯生产,并销往多个国家。
  • 2020年(1).doc:“ 2020年计划支出”,该文件似乎显示了乌克兰地方政府实体的人事费用。
  • 战略防御与安全评论(2021 SDSR).doc:战略防御计划文档,旨在提供给斯洛文尼亚国防部。值得注意的是,该文件似乎与发送给某人的网络钓鱼电子邮件有关,该人似乎是该国驻俄罗斯联邦大使馆的斯洛文尼亚军事武官。
  • СправочникАП_26.10.2020_.doc:来自俄罗斯支持但未被认可的顿涅茨克共和国的规划文件。
  • НовыепоправкикГоспрограммепереселениявРФ(вст.всилу01.07.2020).doc:关于俄罗斯联邦内部内部移民的文件。
  • Минтрудгосслужба.doc:来自俄罗斯支持但未得到认可的卢甘斯克独立共和国的文件

总体而言,与政治、军事及相关主题相关的文件大多出现在冲突地区,例如高加索地区和俄罗斯支持的乌克兰东部脱离地区。其他项目,例如DomainTools研究人员能够链接到网络钓鱼电子邮件的斯洛文尼亚国防文件,强烈暗示了出于间谍活动或类似目的的国家资助的利益,以激发这一运动。

入侵的7个阶段。 其中1位于图片的顶部,7位于图片的底部。

2020年10月,几位研究人员注意到了本报告中确定的一些文件,并将其链接到公共报告中称为“ Cloud Atlas ”或“ Inception ”的小组。尽管目前可用的数据与先前的Cloud Atlas活动并不完全一致,但是观察到以下共同点:

  • 定位于俄罗斯近郊地区。
  • 通过恶意文档将模板对象用于初始活动。
  • 可能依赖于网络通信来检索用于后续活动的第二阶段工具。

由文档发送的对HTTP请求的响应可能是使上述活动与Cloud Atlas actor保持一致的关键,但是由于缺少这一证据,DomainTools目前无法确认或拒绝与该组的关联。

不论具体的归因如何,与已知的高级持续威胁(APT)黑客(云图集)的可能链接与本质上具有高度政治性且没有明显货币化机制的竞选主题相结合,使发现的竞选可能成为国家赞助或政府主导的间谍活动。尽管在这种情况下定位可能意味着与俄罗斯有关的利益,但必须注意,早期的Cloud Atlas活动也针对俄罗斯联邦的实体。考虑到俄罗斯的目标以及对乌克兰分离地区的关注,一种可能的替代假设是,该活动代表乌克兰赞助的网络间谍活动。尽管很有趣,但目前仍然没有足够的证据支持这一假设。

尽管上述活动确实令人担忧,但此时的可用信息甚至无法支持对任何国家利益的弱化归因,只有与Cloud Atlas实体的合理链接(但尚未得到证实)。尽管可能没有具体的归因,但我们可以高度肯定地得出结论,该活动代表由一些尚不为人所知的国家行为者指挥的网络间谍活动。

7、结论

跟踪与地缘政治事件相关的主题对于发现可能与国家资助的利益相关的积极活动可能会非常富有成果。在上面的示例中,在2020年底搜索与高加索地区亚美尼亚-阿塞拜疆冲突有关的物品时,产生了恶意文件。然后,对该文档和相关基础架构的进一步分析导致发现了其他项目,这些项目概述了整个活动可以追溯到2019年。

尽管该活动的受害者似乎受地域限制,主要集中在乌克兰和阿塞拜疆,但从恶意文件和相关网络基础结构的分析中得出的教训可用于进一步防御类似类型的攻击。通过监视这些类型的事件特定事件,CTI分析师可以洞悉新兴的APT活动,并在发现后不久部署防御性对策。


Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1408/