网络间谍持续针对关键基础设施发起攻击

间谍活动者继续对关键的国家基础设施 (CNI) 目标发起攻击，这一趋势已成为世界各国政府和 CNI 组织关注的焦点。赛门铁克的威胁追踪团队发现了证据，证明赛门铁克称之为 Redfly 的威胁组织在今年早些时候使用 ShadowPad 木马危害了一个亚洲国家的国家电网长达六个月。攻击者设法窃取凭据并危害组织网络上的多台计算机。

这次攻击是针对 CNI 目标的一系列间谍入侵中的最新一起。2023 年 5 月，美国、英国、澳大利亚、加拿大和新西兰政府发布联合警报，称威胁行为者利用可能被复制针对其他国家目标的技术，针对美国的 CNI 组织。该警报是在Microsoft 发布关于 Volt Typhoon 的报告之后发出的，Volt Typhoon 是一个间谍活动，破坏了美国多个关键基础设施组织的安全

早期攻击的链接

ShadowPad 是一种模块化远程访问木马 (RAT)，被设计为 Korplug/PlugX 木马的后继者，并在一段时间内在地下论坛中出售。然而，尽管它最初是一种公开可用的工具，但据报道它只在很短的时间内公开出售给少数买家。此后它就与间谍活动密切相关。

虽然 ShadowPad 已知被多个高级持续威胁 (APT) 攻击者使用，但最近针对国家电网的活动中使用的已识别工具和基础设施与之前报告的 APT41 活动集群（又名 Brass Typhoon、Wicked Panda）攻击重叠、Winnti 和 Red Echo）。赛门铁克将这个组织作为多个不同的参与者进行追踪，例如 Blackfly 和 Grayfly，之前已经讨论过这些组织之间的联系。目前，赛门铁克将其称为 Redfly 的独立组织正在追踪该活动中发现的活动，该组织似乎专门针对 CNI。

使用工具：ShadowPad

这次攻击中使用了 ShadowPad 木马的一个独特变体。它利用域 websencl[.]com 进行命令和控制 (C&C) 目的。

它将自身复制到磁盘的以下位置，伪装成 VMware 文件和目录来掩盖其目的（与 VMware 产品没有其他明显的关联）：

C:ProgramDataVMwareRawdskCompatibilityvirtualvmrawdsk.exe
C:ProgramDataVMwareRawdskCompatibilityvirtualmscoree.dll

持久性是通过创建以下服务来实现的，该服务配置为在启动时随 Windows 一起启动：

服务名称：VMware 快照提供程序服务

显示名称：VMware 快照提供程序服务

服务类型：SERVICE_WIN32_OWN_PROCESS|SERVICE_INTERACTIVE_PROCESS

启动类型：SERVICE_AUTO_START

BinaryPathName：C:ProgramDataVMwareRawdskCompatibilityvirtualvmrawdsk.exe

使用工具：Packerloader

这是一个用于加载和执行shellcode的工具。shellcode 以加密形式存储在文件中。它允许攻击者在受感染的计算机上传递和执行任意文件或命令。

该工具是一个 64 位动态链接库 (DLL)，有一个名为 WorkProc 的导出，它接受附加的命令行参数。该参数被解释为字符串，可以用作解密密钥。如果没有在命令行上传递密钥，恶意软件会尝试从以下注册表位置检索密钥：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionHomeGroupPublishedMessageOfflineCache“AKey”

在所有情况下，恶意软件都会检查解密密钥的字符串长度是否为 0x20 个字符。

然后恶意软件加载其有效负载。它首先会检查以下文件是否存在：

[FILE_DIRECTORY_OF_SAMPLE_BINARY]tmp.bin

如果该文件存在，则其内容将用作加密的有效负载。否则，恶意软件会尝试从以下位置的注册表中检索有效负载：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionHomeGroupPublishedMessageOfflineCache"SData"

然后，恶意软件将在电子代码书 (ECB) 模式下使用高级加密标准 (AES) 算法解密加载的有效负载，并使用解密密钥的前 0x10 字节作为 AES 密钥。最后，它创建一个新线程来将解密的有效负载作为 shellcode 执行。

使用的工具：键盘记录器

攻击者还使用了键盘记录器，该记录器以不同的文件名安装在不同的计算机上，包括 winlogon.exe 和 hphelper.exe。

键盘记录器配置为将捕获的击键存储在以下位置：

%SYSTEMROOT%Intelrecord.log

攻击概要

目标网络入侵的第一个证据可以追溯到 2023 年 2 月 28 日，当时 ShadowPad 在单台计算机上执行。它于 2023 年 5 月 17 日再次被处决，这表明袭击者在接下来的三个月里一直存在。

一天前（5月16日），一个可疑的Windows批处理文件（文件名：1.bat）被执行。不久之后，PackerLoader 通过 rundll32 从 %TEMP% 目录执行，并带有一些命令行参数：

rundll32 %TEMP%packerloader.dll WorkProc E10ADC3949BA59ABBE56E057F20F883E

随后，名为 dump_diskfs.sys 的驱动程序文件的权限被修改，以向所有用户授予访问权限。攻击者可能使用此驱动程序创建文件系统转储以供以后渗透。四分钟后，凭证从 Windows 注册表中转储：

reg save HKLMSYSTEM system.save
reg save HKLMSAM sam.sav
reg save HKLMSECURITY security.save

5月19日，攻击者卷土重来，再次运行PackerLoader和1.bat批处理文件。不久之后，一个名为displayswitch.exe的合法二进制文件被执行。它很可能被用来执行 DLL 侧面加载。这涉及攻击者将恶意 DLL 放置在预计可以找到合法 DLL 的目录中。然后，攻击者运行合法应用程序（自己安装了它）。然后，合法应用程序加载并执行有效负载。

几个小时后，执行了一个可疑的 PowerShell 命令，并用于收集连接到系统的存储设备的信息。具体来说，它旨在查找 DriveType=3（支持读/写）并收集有关可用空间的详细信息。

powershell -executionpolicy ByPass -command "$disks = Get-WmiObject Win32_LogicalDisk -Filter " DriveType = 3" ; foreach ($disk in $disks) { $freeSpace = "{0:N2}" -f ($disk.FreeSpace/1GB) ; Write-Host "Drive Free Space: $($disk.DeviceID) $freeSpace"; }"

几个小时后，类似的活动再次发生。

5 月 26 日，通过命令提示符从 %TEMP% 目录执行了 displayswitch.exe。不到一个小时后，通过 displayswitch.exe 执行了几个命令，以从注册表中转储凭据并清除 Windows 安全事件日志：

CSIDL_SYSTEMcmd.exe
reg save HKLMSAM sam.save
reg save HKLMSYSTEM system.save
reg save HKLMSYSTEM system.save
reg save HKLMSYSTEM system.save
reg save HKLMSECURITY security.save
reg save HKLMSAM sam.save
reg save HKLMSECURITY security.save

wevtutil cl 安全性

5 月 29 日，攻击者卷土重来，并使用 ProcDump 的重命名版本（文件名：alg.exe）从 LSASS 转储凭据。

alg.exe -accepteula -ma lsass.exe z1.dmp

5月31日，利用定时任务执行oleview.exe，极有可能进行侧载、横向移动。Dell Secureworks 之前已记录了 ShadowPad 使用 Oleview 的情况，并且据报道也曾用于针对工业控制系统的攻击。该命令指定 Oleview 将在上午 07:30 使用任务名称 (TendView) 在远程计算机上执行。看来攻击者可能使用窃取的凭据将其恶意软件传播到网络内的其他计算机上。

schtasks /create /s \[REMOVED] /u [REMOVED] /P [REMOVED] /tr "CSIDL_PROFILE[REMOVED]appdatalocaltempoleview.exe" /tn TrendView /st 07:30 /sc once /ru " " /f

恶意活动似乎一直持续到 7 月 27 日，当时计算机上安装了键盘记录器（文件名：winlogon.exe）。

恶意活动的最终证据出现在 8 月 3 日，当时攻击者返回并尝试使用 ProcDump 的重命名版本（文件名：yara32.exe）再次转储凭据：

yara32.exe -accepteula -ma lsass.exe z1.dmp

几分钟后，攻击者还尝试从 Windows 注册表中转储凭据：

reg save HKLMSAM sam.save
reg save HKLMSAM sam.save
reg save HKLMSYSTEM system.save
reg save HKLMSYSTEM system.save
reg save HKLMSYSTEM system.save
reg save HKLMSECURITY security.save
reg save HKLMSECURITY security.save

关注来源

针对 CNI 目标的攻击并非史无前例。大约十年前，赛门铁克发现了俄罗斯赞助的 Dragonfly 组织对美国和欧洲能源行业的攻击。最近，俄罗斯“沙虫”组织对乌克兰的配电网络发起了攻击，旨在中断电力供应。

然而，CNI 组织遭受攻击的频率在过去一年中似乎有所增加，现在引起了人们的关注。威胁行为者在国家电网上长期持续存在，显然存在遭受旨在在政治紧张局势加剧期间破坏民族国家电力供应和其他重要服务的攻击的风险。虽然赛门铁克尚未发现 Redfly 进行任何破坏性活动，但此类攻击已在其他地区发生的事实意味着它们并非不可能。

IOCs

转载来源：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/critical-infrastructure-attacks

图片来源网络侵权可联系删除