卡巴斯基的威脅狩獵團隊截獲了一種新的網絡間諜植入物,這種植入物是通過有針對性的DNS劫持東歐政府的DNS。研究團隊當場時間9月29日發布了一份新的報告,其中提供了將該惡意軟件與SolarWinds攻擊者聯系起來的線索。
這家俄羅斯安全供應商表示,新發現的名為Tomiris的惡意軟件含有最新的技術特征,表明可能與執行SolarWinds供應鏈攻擊的組織有共同的作者或共同的開發實踐。
卡巴斯基的研究報告中記錄了這一發現,該報告提供了一種先進的DNS劫持技術的證據,該技術被用來精確地替換網絡郵件登錄頁面,劫持政府用戶名和口令。
DNS劫持是在一個身份不明的獨聯體成員國的幾個政府網絡上觀察到的——猜測是吉爾吉斯斯坦或哈薩克斯坦——并允許威脅行為者在特定時間內將來自政府郵件服務器的流量重定向到攻擊者控制的機器上。
根據卡巴斯基的報告:在這些時間段內,上述區域的權威DNS服務器被切換到攻擊者控制的解析器。這些劫持大部分時間相對較短,而且似乎主要針對受影響組織的郵件服務器。不知道威脅行動者是如何做到這一點的,但研究人員假設他們以某種方式獲得了受害者使用的注冊商控制面板的證書。
當惡意重定向處于活躍狀態時,訪問者被引導到模仿原始郵件登錄頁面。因為攻擊者控制的各種域名劫持,他們能夠獲得合法的SSL證書加密所有這些假頁面,使安全意識較弱的訪問者很難注意到攻擊——畢竟,他們通常連接到URL并被引導到一個安全的頁面。
研究人員認為,進入網頁的證書被攻擊者獲取,并在更大攻擊入侵的后續階段重復使用。
“在某些情況下,他們還在頁面上添加了一條信息,誘使用戶安裝惡意的‘安全更新’,”研究人員警告稱,該鏈接會導致一個帶有新的后門的可執行文件。一旦安裝到機器上,Tomiris后門就會不斷地向命令和控制服務器查詢額外的可執行文件,以便在受害的系統上執行。
Tomiris是一個用Go編寫的后門,其作用是不斷查詢其C2服務器以獲取可執行文件,以便在受害系統上下載和執行。在執行任何操作之前,它會休眠至少9分鐘,以試圖擊敗基于沙箱的分析系統。它通過創建和運行包含以下命令的批處理文件來建立計劃任務,以保持長期的潛伏:
1
SCHTASKS /CREATE /SC DAILY /TN StartDVL /TR “[path to self]” /ST 10:00
C2服務器地址沒有直接嵌入Tomiris內部:相反,它連接到信號服務器,該服務器提供后門應連接到的URL和端口。然后Tomiris向該URL發送GET請求,直到C2服務器使用以下結構的JSON對象響應:
1
{“filename”: “[filename]”, “args”: “[arguments]”, “file”: “[base64-encoded executable]”}
這個對象描述了一個可執行文件,它被放置在受害機器上并使用提供的參數運行。此功能以及Tomiris除了下載更多工具之外沒有其他功能的事實表明此工具集還有其他部分,但不幸的是,我們迄今為止無法恢復它們。
研究人員還發現了一個Tomiris變體(內部命名為“SBZ”,MD5 51AA89452A9E57F646AB64BE6217788E),它充當文件竊取者,并將任何與硬編碼擴展名集(。doc、。docx、。pdf、。rar 等)匹配的最新文件上傳到C2。
最后,在這次調查中發現的一些小線索表明,Tomiris的作者可能會說俄語,但信心不足。
卡巴斯基此前曾將SolarWinds的攻擊代碼與一個已知的俄羅斯威脅行為者聯系起來,現在他正在呼吁外部威脅情報研究人員幫助重現結果。
Tomiris的曝光——以及與SolarWinds的潛在聯系——發生在微軟發布了一份針對FoggyWeb的公開建議幾天之后,FoggyWeb是SolarWinds攻擊者使用的一款新惡意軟件。
在分析Tomiris時,研究人員注意到與上面討論的Sunshuttle惡意軟件有許多相似之處:
這兩個惡意軟件系列都是用Go開發的,帶有可選的UPX加殼打包。
配置文件中使用相同的分隔符(“|”)來分隔元素。
在這兩個家族中,使用相同的加密/混淆方案對配置文件進行編碼并與C2服務器通信。
根據微軟的報告,Sunshuttle也依賴于計劃任務維持長期潛伏。
兩個家族都比較依賴隨機性:
Sunshuttle將源網址和誘餌網址隨機化,用于生成良性流量。它還在每個請求之間休眠5-10秒(默認情況下)。
Tomiris在執行過程中的不同時間將隨機延遲(0-2秒或0-30秒,具體取決于上下文)添加到它休眠的基本時間。它還包含用于放置下載的可執行文件的目標文件夾列表,程序從中隨機選擇。
在每次調用之前,Tomiris和Sunshuttle都使用Now()的輸出免費為RNG重新設定種子。
這兩個惡意軟件系列在執行期間都會定期休眠,以避免產生過多的網絡活動。
這兩個程序的一般工作流程,特別是將功能分配到函數中的方式,感覺非常相似,以至于這位分析師認為,可以表明兩個惡意軟件的作者共享的了開發實踐。一個例子是當準備步驟完成時,程序的主循環如何轉移到一個新的goroutine,而主線程幾乎永遠處于非活動狀態。
在Tomiris(“isRunned”)和Sunshuttle(“EXECED”而不是“executed”)字符串中都發現了英語錯誤。
這些項目,單獨來看,都不足以將To和Sunshuttle聯系起來有足夠的信心。研究人員坦率地承認其中一些數據點可能是偶然的,但仍然認為將它們放在一起至少表明了共同作者或共享開發實踐的可能性。
研究人員想提供的最后一個間接證據是發現網絡中感染了Tomiris的其他機器也感染了Kazuar后門。不幸的是,可用數據無法讓他們確定惡意程序中的一個是否會導致另一個程序的部署,或者它們是否源自兩個獨立的事件。
目前看來,許多線索暗示了Sunburst、Kazuar和Tomiris之間的聯系,但感覺仍然缺少一項證據,可以讓研究者將它們全部歸因于一個威脅行為者。研究人員試圖通過解決虛假標志攻擊的可能性來結束這一部分:可以說,由于Sunshuttle的高調性質,其他威脅行為者可能故意試圖復制其設計以誤導分析師。最早的Tomiris樣本出現在 2021年2月,也就是Sunshuttle向世界展示的一個月前。雖然此時其他APT可能已經意識到該工具的存在,但卡巴的研究人員認為他們不太可能在它被披露之前嘗試模仿它。
卡巴斯基的報告最后認為,如果他們對Tomiris和Sunshuttle相連的猜測是正確的,它將為威脅行為者在被抓獲后重建能力的方式提供新的線索。希望鼓勵威脅情報社區重現這項研究,并就其發現的 Sunshuttle和Tomiris之間的相似之處提供見解。
另據微軟的研究,他們發現了新的后門FoggyWeb,將其描述為一個后利用的被動后門,黑客們一直在利用它從被攻擊的Active Directory Federation Services (AD FS)服務器中遠程竊取敏感信息。后門一直存在,而且目標明確。微軟稱該后門自2021年4月左右開始使用,使與俄羅斯有關聯的APT組織Nobelium(又名APT29)從被入侵的服務器竊取信息,并接收和執行額外的惡意代碼。
這一活動被微軟與APT29關聯了起來。Tomiris和Foggyweb是不是都會與Solarwinds供應鏈攻擊有關聯還需要進一步的實證。有意思的是,Tomiris攻擊活動的顯著特征是DNS劫持,而Foggyweb正是惡意獲取各種證書的活動。
據觀察,即使在SolarWinds事件曝光后,該威脅行為者仍在發動攻擊。在Sunburst后門和Teardrop惡意軟件用于攻擊之后,他們開發了用于分層持續的GoldMax、GoldFinder和Sibot惡意軟件,以及用于早期感染的EnvyScout、BoomBox、NativeZone和VaporRage。今年6月,微軟警告稱,黑客仍在繼續針對IT公司開展行動,目標遍及36個國家。
