Lone Wolf组织已入侵俄罗斯长达三年

最近，在日常的网络狩猎中捕获了Lone Wolf组织针对俄罗斯实体的多个攻击样本，据进一步了解发现该组织针对俄罗斯的攻击已长达三年。

隐蔽而复杂的Lone Wolf组织

安恒研究院猎影实验室捕获该组织攻击后，对攻击样本进行了仔细的分析和追溯，不仅发现了更多具有相似攻击流程的样本，并且还发现这一系列攻击的时间跨度非常长，最早的攻击可以追溯到2020年10月份。

该组织具有以下特点：

1. 对俄罗斯的多个行业进行持续性攻击，包括物流，制造，金融和零售等，并且已经成功入侵了相关公司的官方网站。

2. 使用钓鱼邮件进行初始入侵，利用俄罗斯各类公司官方网站下发恶意文件，使用CobaltStrikeBeacon作为最终后门。

3.攻击技术不断持续提高，从早期粗暴的直接远程加载木马发展到利用漏洞、powershell、shellcode等更复杂隐蔽的方式。

精心策划的一场持久行动

根据我们捕获的有关样本以及少量俄罗斯媒体的相关报道，我们发现这个不明身份的组织一直在对俄罗斯的物流、制造、金融组织和零售公司行业进行大规模而持续性的网络攻击。

攻击者将标题为“索赔”、“申诉”、“诉讼”等的恶意文档嵌入在定向邮件中，从而诱使受害者打开这些文档，最终加载恶意木马。

这些攻击不仅仅是一次性事件，而是一系列精心策划和执行的行动，显示出这个组织的高度组织性和专业水平。

根据我们捕获的数据，攻击样本的数量在不断增加，尤其是在2023年，攻击频率呈现出急剧上升的趋势。

今年，我们已经捕获到了36个攻击样本，而且该组织似乎仍在持续不断地投放新的攻击样本。这一情况表明，这个组织不仅拥有高度的攻击能力，还有明确的长期目标。他们似乎在不断改进和升级他们的攻击技术，以适应不断变化的网络安全环境。

该组织在攻击当中使用了大量的网络基础设施投放后续载荷，主要分为两种，一种是自主搭建的服务器；另一种是入侵俄罗斯境内相关公司的网站服务器并使用其域名下发载荷，被入侵的网站横跨多个行业，包括医疗、旅游、零售、贸易，物流等。

下表列出了目前已发现的该组织攻击中曾使用过的域名及仿冒其公司的域名。

此外我们还发现，在8月23日瓦格纳集团创始人普里戈任在莫斯科以北坠亡之后，该组织将下发的恶意RTF文件名称迅速改为了“wagner.rtf”或者“wagnergroup.rtf”，虽然我们暂不清楚其行为的含义，但此举证明了该组织在高度关注俄罗斯境内的时事并将其结合到自身的攻击当中。

详细攻击流程

该组织最新的攻击流程如下图所示：

此类攻击起始于钓鱼邮件，以下是一封该组织2021年针对俄罗斯石油运输公司的钓鱼邮件，邮件内容大体为假借采购部的名义发送询价单，诱使该公司员工打开恶意文档。

附件中的恶意文档一般无实际的可读内容，当用户打开时会远程加载RTF文件

RTF文件通过CVE-2017-11882漏洞加载shellcode来启动mshta.exe 执行远程文件。

远程文件一般为一个hta文件，内部包含base64编码的powershell指令

base64解码后的指令会再次使用base64解码一段数据并解压缩

解压缩后的文件中包含powershell指令用来解密shellcode并分配内存执行

执行的shellcode会获取网络通信的函数并从指定服务器下载执行CobaltStrikeBeacon后门。

攻击升级 亟待防范

Lone Wolf group是一个具有长期目标的持续性攻击组织，并且根据目前已知线索，该组织在采用多种方式进行攻击，鱼叉式邮件是其最常使用的攻击方式，而诸多俄罗斯境内网站的沦陷表明该组织拥有不俗的渗透攻击能力，此外还注册了一些与正规公司域名相似的山寨域名，这些域名可能被用于建立钓鱼网站，以欺骗用户。

从技术和战术的角度来看，该组织在早期入侵时采用了比较粗糙的方式，但随着时间的推移，他们显然在不断改进和提高攻击技巧，以绕过网络安全设备的检测。

其中，Cobalt Strike Beacon木马是该组织使用最频繁的恶意工具，这款木马广泛应用于渗透测试和攻击活动中。然而，从其攻击模式来看，该组织使用的木马依赖于公开的攻击框架且较为单一，仅仅在加载方式上不断更新，我们有理由相信该组织可能在木马开发人员方面存在一定的技术短板。

尽管目前使用的木马工具较为常见，但随着该组织攻击水平的不断提高，我们不能排除他们未来可能采用自行开发的高度定制化木马。

防范建议

目前安全数据部已具备相关威胁检测能力，对应产品已完成IoC情报的集成。针对该事件中的最新IoC情报，以下产品的版本可自动完成更新，若无法自动更新则请联系技术人员手动更新：

1. AiLPHA分析平台V5.0.0及以上版本

2. AiNTA设备V1.2.2及以上版本

3. AXDR平台V2.0.3及以上版本

4. APT设备V2.0.67及以上版本

5. EDR产品V2.0.17及以上版本

转载来源：https://mp.weixin.qq.com/s/mX0CEQFRpTw6k-wTnGBkFw

图片来源网络侵权可联系删除