在针对哈马斯恐怖分子的“Swords of Iron War”期间,伊朗威胁行为者加大了针对以色列私营企业的“黑客和泄密”假黑客活动的强度。这篇博文重点介绍了最近进行的一些攻击,并对 MuddyWater 武器库中最新的 C2 框架“DarkBeatC2”进行了分析。
执行摘要
伊朗威胁行为者继续合作,并利用先前违规事件中的信息,将受感染的目标移交给供应链攻击。
Deep Instinct 的威胁研究团队发现了 MuddyWater 怀疑使用的一个先前未报告的 C2 框架。
在这篇文章中,我们进一步阐述了最近由国家支持的攻击。
背景
尽管自“Swords of Iron War”开始以来,伊朗针对以色列组织的网络攻击数量大幅增加,但以色列对这些攻击的报道仅限于主流新闻报道,没有超出一般国际奥委会的技术细节。
尽管大部分事件响应是由以色列当地公司和以色列国家网络管理局 (INCD) 完成的,但有关攻击的大部分技术细节仅由以色列境外的国际公司共享。
例如,2024 年 2 月中旬,Google分享了2024 年初以来发生的一些事件的回顾。该报告包含当地新闻或 INCD 未报道的信息。
当 INCD 确实分享有关针对以色列公司的恶意网络活动的警报时(这种情况并不常见),其具体细节也很模糊。最近,他们分享了关于多个国家资助的团体“主要”针对一些特定行业的警报。
该警报还包括 Yara 规则集和一长串 IOC,没有任何其他上下文。
提供没有任何上下文的 IOC 可能会有所帮助,但它们位于“痛苦金字塔”的底部是有原因的,这个术语是我们在本博客中经常提到的。
Going Through a Pile of Garbage to Find Golden Nuggets
虽然共享的信息不足以对目标公司有用,但让我们深入研究一下共享的信息,看看是否可以挽救任何有用的信息。
Yara 规则适用于基于规则名称的各种擦拭器。尽管没有提供哈希值或附加信息,但可以将规则链接到以下特定攻击:
KarMa 的BiBi 雨刷
Homeland Justice 瞄准阿尔巴尼亚议会(2022)
Homeland Justice 瞄准阿尔巴尼亚统计研究所(INSTAT)
Google将 KarMa链接到 DEV-0842/ BanishedKitten。在微软对 2022 年阿尔巴尼亚政府攻击的调查中,他们“高度确信有多个伊朗行为者参与了这次攻击”。微软表示,“DEV-0842 部署了勒索软件和擦除器恶意软件”,另外三个组织也参与了此次攻击。每个小组负责“网络杀伤链”中的不同步骤。
此外,微软还将此次攻击中的所有不同组织都与伊朗情报与安全部 (MOIS) 联系起来。
图 1:2022 年针对阿尔巴尼亚政府的攻击背后的威胁参与者。(来源:Microsoft)
在针对 2022 年阿尔巴尼亚政府袭击事件的另一项调查中,Mandiant 还提出了“跨团队合作的可能性”。
INCD 共享的 IOC 列表包括七个文件的哈希值,其中只有三个是公开的。在公开的 Webshell 中,有两个是 2020 年的通用 Webshell。
最后一个文件也是一个 webshell。但与其他两个不同的是,它不是通用的 Webshell,而是ScarredManticore/DEV-0861/ ShroudedSnooper使用的FoxShell的变体,微软观察到它参与了 2022 年针对阿尔巴尼亚政府的网络攻击。
如果用医学术语来类比,webshell只是一种症状,通过哈希值来防范webshell很容易被绕过。因此,它不被视为预防能力。
在 INCD 共享的三个域名中,只有一个众所周知与伊朗活动直接相关。DEV-1084 (DarkBit) 在 2023 年 2 月攻击以色列理工学院时使用了 vatacloud[.]com 域。根据微软的说法,“DEV-1084 可能与 MERCURY 合作。”
Mercury,又名 MuddyWater,也是伊朗 MOIS 的一部分。
最后一个 IOC 包括 31 个 IP 地址,但没有说明。
其中,Deep Instinct 无法识别 11 个 IP 地址中的任何已知恶意活动。
另外 11 个 IP 地址已知与之前的活动中的 MuddyWater 相关,
例如SimpleHarm、PhonyC2和MuddyC2Go 。
剩下的 9 个 IP 地址很可能也与 MuddyWater 有关。此外,我们相信这些 IP 托管着威胁行为者使用的最新工具及其最新的 C2 框架,我们将其命名为“DarkBeatC2”。
现在,让我们检查一下上述发现的其他背景,以了解完整情况。
介绍“Lord Nemesis”
“Lord Nemesis”是伊朗最新的“风靡一时”的“虚假主义”行动。
图 2:虚假主义定义
由于大多数伊朗针对以色列的网络行动的报告缺乏透明度和背景,以下罕见的有关最近供应链攻击的详细报告进一步说明了背景如此重要的原因。
OP Innovate 的一份独特报告详细介绍了自称为“Lord Nemesis”的攻击者如何通过危害一个名为“Rashim”的 IT 提供商来成功访问多个组织。
报告称,“Lord Nemesis 将攻击范围扩展到 Rashim 之外的关键因素之一是该公司在某些客户系统上维护管理员用户帐户的做法。通过劫持此管理员帐户,攻击者能够使用依赖 Michlol CRM 的 VPN 访问众多组织,这可能会损害这些机构的安全并使其数据面临风险。”
虽然报告包含额外的上下文解释了攻击者在获得初始访问权限后如何进行操作,但它没有解释攻击如何归因于“Nemesis Kitten”,正如报告开头提到的那样。
根据微软的说法,“Nemesis Kitten”是 DEV-0270(Cobalt Mirage、TunnelVision),是伊朗威胁组织Mint Sandstorm(PHOSPHORUS、APT35、Charming Kitten)的一个子组织,我们之前曾观察到该组织利用 Exchange 服务器。
虽然“Mint Sandstorm”与伊朗 IRGC 有关,但 DEV-0270 是一家名为“SecNerd”或“Najee Technology”的私人分包商。
然而,Op Innovate 博客中最重要的细节如下:“为了向受害者灌输恐惧并展示他的访问范围,‘复仇女神’于 3 月 4 日通过 Rashim 的电子邮件系统联系了 Rashim 的用户和同事名单。这次通信发生在 Rashim 基础设施首次遭到破坏的四个月后,突显了攻击者在系统内的长期存在。”
这一点很重要,因为如果“Lord Nemesis”能够侵入 Rashim 的电子邮件系统,他们可能会使用管理员帐户侵入 Rashim 客户的电子邮件系统,而根据 Op Innovate 的报告,我们现在知道他们从“Rashim”那里获得了这些管理员帐户。
那么,为什么这如此重要?请继续阅读。
Back to MuddyWater
我们曾多次报道过MuddyWater 的活动。
尽管有这些报道,威胁行为者仅稍微改变了其核心 TTP,正如“痛苦金字塔”所预测的那样。虽然偶尔会切换到新的远程管理工具或更改其 C2 框架(由于之前的框架被泄露),但 MuddyWater 的方法保持不变,正如我们第一篇关于威胁参与者的博客中所描述的那样。
图 3:更新的 MuddyWater 活动概述
在 Proofpoint最近的一份安全简报中,我们发现 MuddyWater (TA450) 从一家受感染的以色列公司的电子邮件中发送 PDF 附件。
这些 PDF 附件包含各种 Web 托管服务的链接,用户可以在其中下载包含远程管理工具的存档,如上面的图 3 所示。
然而,其中一个网络托管提供商——“Egnyte”,带有“salary.egnyte[.]com”子域——是新的,之前不知道 MuddyWater 使用过。
虽然这种变化看起来很小且微不足道,但当给出额外的背景时,情况恰恰相反。在 Proofpoint 报告此活动的同时,Deep Instinct 观察到使用不同子域“kinneretacil.egnyte[.]com”的类似活动。该子域名是指域名“kinneret.ac.il”,这是一所以色列高等教育学院。
由于 OP Innovate 分享的信息,Kinneret 是“Rashim”的客户。这让我们相信 kinneretacil.egnyte[.]com 可能是被“Lord Nemesis”破坏的基础设施的一部分,特别是因为它共享用户名“ori ben-dor”,该用户名看起来像一个真实的以色列名字(见图 4)。
图 4:kinneretacil.egnyte[.]com 上的上传者信息
根据 Proofpoint 提供的背景信息,Egnyte 帐户似乎并未受到损害,而是由 MuddyWater创建的。从 Proofpoint 观察到的实例中上传者名称(“Shared by gsdfg gsg”)缺乏创意就可以看出这一点(见图 5)。
图 5:salary.egnyte[.]com 上的上传者信息
由于 MuddyWater 使用受感染的电子邮件帐户将链接传播到salary.egnyte[.]com,因此 kinneretacil.egnyte[.]com 链接也可能存在这种情况,尽管我们没有直接证据。
MuddyWater 可能使用“Kinneret”电子邮件帐户来分发这些链接,利用收件人对发件人作为熟悉且可信的组织的信任。
与此同时,在 Sync 和 OneHub 上托管的另一个档案被发现使用希伯来语名称“奖学金”。这表明他们可能再次滥用“Rashim”帐户的访问权限,以教育部门的受害者为目标,诱骗他们安装远程管理工具。
虽然尚无定论,但事件的时间框架和背景表明,IRGC 和 MOIS 之间可能存在交接或合作,对以色列组织和个人造成尽可能多的伤害。
Additional MuddyWater Shenanigans
2024 年 3 月上旬,经过一年的沉默,DarkBit对新受害者做出了一些大胆的声明。然而,到目前为止,他们提供的唯一证据表明 INCD 存在单一妥协。
对于那些不记得的人来说,DarkBit 是对以色列理工学院黑客事件负责的组织。微软将其归咎于 MuddyWater,DarkBit 自己后来也承认了这一点(见图 6)。
图 6:DarkBit 承认他们是 MuddyWater。 (来源:K7 安全实验室)
虽然 DarkBit 已经删除了这条消息,但互联网仍然记得。
在当前的迭代中,DarkBit 决定使用“freeupload[.]store”上传和泄露被盗数据
图 7:使用 freeupload[.]store 的 DarkBit(来源:K7 安全实验室)
在同一时间段内,即 2024 年 3 月上旬,Deep Instinct 发现了两个名为“IronSwords.msi”的不同 MSI 文件,它们是“Atera Agent”(MuddyWater 当前使用的 RMM)的安装程序。
这些文件已按原样上传,未打包到存档中。第一个文件已上传至 filetransfer[.]io,第二个文件已上传至 freeupload[.]store。
freeupload[.]store 域名属于“0Day forums”,这是暗网上的一个黑客社区。
在公共托管服务上发现 Atera 安装程序本身并不能提供足够的证据来得出结论。然而,当考虑上下文时——具体的文件名、其出现的时间、软件的性质以及使用相同文件托管服务的事实——这两个文件与另一个伊朗活动有关的可能性,很可能是在伊朗进行的通过 MuddyWater,显着增加。
DarkBeatC2 简介
Deep Instinct 大海捞针:DarkBeatC2 和 MuddyWater 最有可能使用的其他新工具。
IP 地址 185.236.234[.]161 未知与 MuddyWater 相关。然而,它确实属于“Stark-Industries”,这是一家已知的恶意活动托管提供商。
该 IP 地址托管“ reNgine ”开源侦察框架。
虽然之前没有 MuddyWater 使用该框架的公开文档,但他们有使用各种开源工具的记录,而侦察是“网络杀伤链”的重要组成部分。
此外,域 aramcoglobal[.]site 和 mafatehgroup[.]com 指向 IP 地址 185.236.234[.]161。
域名 mafatehgroup[.]com 模仿域名mafatehgroup.com,后者是一家数字服务提供商,在约旦和沙特阿拉伯设有办事处。约旦、沙特阿拉伯和阿美石油公司是伊朗威胁行为者的已知目标。
IP 地址 185.216.13[.]242 也属于“Stark-Industries”,但该 IP 托管“战术 RMM”的管理面板。 ”
网络安全研究人员报告称,威胁行为者正在利用“战术 RMM”来部署勒索软件。
“战术RMM”是另一种远程管理工具。考虑到 MuddyWater 利用 RAT 的记录,滥用它也就不足为奇了。
域“websiteapicloud[.]com”解析为托管“战术 RMM”的同一 IP 地址 185.216.13[.]242。据观察,这与一个未命名的 APT 相关。
在撰写本博客时,我们了解到“ Intel-Ops ”也在跟踪上述 MuddyWater 活动。
Deep Instinct 跟踪域名“websiteapicloud[.]com”,作为 MuddyWater 的新 DarkBeatC2 框架的一部分。
虽然 IP 地址位于“痛苦金字塔”的底部,并且应该很容易被威胁行为者更改,但 MuddyWater 却不断重复使用相同的 IP 地址。
MuddyWater 和 DarkBeatC2 之间的早期联系可以在以下 IP 地址中看到:
91.121.240[.]102 – 这个 IP 大约一年前在“SimpleHarm”活动中被提及,但今年 2 月,域名 googlelinks[.]net 开始指向它。
137.74.131[.]19 – 该 IP 位于“SimpleHarm”和“PhonyC2”活动中已知托管 MuddyWater 服务器的同一子网中。域名 googlevalues[.]com 也在 2024 年 2 月指向了该 IP 地址。
164.132.237[.]68 – 该 IP 位于“SimpleHarm”和“PhonyC2”活动中已知托管 MuddyWater 服务器的同一子网中。域名 nc6010721b[.]biz 在 2021 年解析为该 IP 地址。域名模式 (6nc/nc6) 与我们怀疑与 MuddyWater 在“PhonyC2”活动中相关的域名非常相似。虽然我们仍然无法确认这是 VPS 提供商还是 MuddyWater 完成的,但两者之间存在联系。
虽然还有更多与 DarkBeatC2 相关的域和 IP(您可以在本博客的指标附录中找到),但我们将重点关注以下域:googleonlinee[.]com
与 MuddyWater 之前的 C2 框架非常相似,它充当管理所有受感染计算机的中心点。威胁行为者通常通过以下方式之一建立与其 C2 的连接:
通过另一种方法获得初始访问权限后,手动执行 PowerShell 代码以建立与 C2 的连接。
包装连接器以执行代码,以在第一阶段有效负载中建立 C2 连接,该有效负载通过鱼叉式网络钓鱼电子邮件传递。
旁加载恶意 DLL 以执行代码,通过伪装成合法应用程序(PowGoop 和 MuddyC2Go)来建立 C2 连接。
虽然我们无法确定与 DarkBeatC2 的连接是如何建立的,但我们能够获得一些 PowerShell 响应,以更多地了解它的作用和方式。
总的来说,这个框架与MuddyWater之前使用的C2框架类似。 PowerShell 仍然是他们的“面包和黄油”。
URL googleonlinee[.]com/setting/8955224/r4WB7DzDOwfaHSevxHH0 包含以下 PowerShell 代码:
图 8:来自“设置”URI 的 PowerShell 代码
上面的代码只是从同一个 C2 服务器获取并执行两个额外的 PowerShell 脚本。
图 9 中包含来自 URL“8946172”的代码。
图 9:来自“8946172”URI 的 PowerShell 代码
这段代码也很简单。它读取名为“C:ProgramDataSysInt.log”的文件的内容,并通过 POST 请求将其发送到 C2。
虽然我们不知道该文件的内容,但 C2 框架在另一个阶段创建它,可能是出于与 PhonyC2 中名为“db.sqlite”的文件类似的目的。
图 10 中包含来自第二个 URL“7878123”的代码。
图 10:来自“7878123”URI 的 PowerShell 代码
这段代码比前两个代码片段更复杂。它在一个休眠 20 秒的循环中运行,尝试连接到 C2 并获取其他内容。如果内容不为空,则会进行额外检查以查看内容是否包含字符串“SRT_”。如果存在此字符串,则内容将转换为以符号“_”作为分隔符的数组。然后,脚本获取数组的第二个对象,并休眠以秒为单位的时间,该时间在该对象中表示为数字。
如果内容不为空但不包含字符串“SRT_”,则脚本会将响应的内容转换为脚本块,并在将响应写入上述“SysInt.log”文件时执行它。
在我们的分析过程中,服务器响应了 403 错误消息。因此,我们在此阶段没有收到任何内容。
结论
伊朗威胁行为者正在积极瞄准以色列网络。共享有关这些主动入侵的信息可能会导致问题得到适当的处理。暴露攻击向量并解决潜在漏洞比感染发生后简单地对 IOC 做出反应更有效。
我们鼓励每个人分享他们的发现——结合上下文——就像 OP Innovate 所做的那样。
由于蓝队的安全状况和成熟度水平因公司和行业而异,因此最大限度地缩短漏洞检测时间至关重要。
由于需要处理的数据量巨大,仅仅依靠增强检测能力的产品可能会适得其反,并降低蓝队的检测能力。
这篇文章再次强调了 Deep Instinct 预防优先能力的优势。利用我们的深度学习框架,我们可以防止其他工具无法发现的威胁。这消除了蓝队手动干预的需要,节省了时间、精力和挫败感,同时确保消除违规行为。
IOCs
网络
文件
参考链接: https://www.deepinstinct.com/blog/darkbeatc2-the-latest-muddywater-attack-framework
图片来源网络侵权可联系删除
