起底国家级APT组织:OilRig (APT-Q-53)
国家级APT(Advanced Persistent Threat,高级持续性威胁)组织是有国家背景支持的顶尖黑客团伙,专注于针对特定目标进行长期的持续性网络攻击。
奇安信旗下的高级威胁研究团队红雨滴(RedDrip Team)每年会发布全球APT年报【1】、中报,对当年各大APT团伙的活动进行分析总结。
虎符智库特约奇安信集团旗下红雨滴团队,开设“起底国家级APT组织”栏目,逐个起底全球各地区活跃的主要APT组织。本次锁定主要攻击中东地区政府、能源、化工及电信等行业的国家级黑客团伙:OilRig。
04 Oilrig
OilRig是中东某国政府支持的APT组织。主要针对中东国家实施攻击,近几年来我国也成为了其攻击目标。
该APT组织知名度较高,代表了该国网军的最高网络攻击水平。奇安信内部跟踪编号为APT-Q-53。
背景
OilRig又名HelixKitten、APT34、 GreenBug、ITG13 等称号,是中东某国政府支持下知名度最高的APT组织之一。
自2014年被发现以来,OilRig一直非常活跃,主要针对中东国家实施攻击,其次是美国、土耳其、英国等西方国家,也包括中国和印度。
OilRig攻击目标具体包括包括政府、媒体、及技术服务提供商等组织,行业包括金融、政府、能源、化工和电信等领域。
从攻击目标可以看出,OilRig与该国国家利益和作战时间保持基本一致,更加关注涉及其国家利益的细节情报。2019年OilRig遭受重大打击,大量与该集团相关的信息通过Telegram被公开。泄露内容包括十余名成员的详细个人信息及若干网络武器。其公开内容使得安全厂商们在后续一系列溯源都有了方向。
攻击特点手段、工具
长期以来,OilRig通过大量收集并整合各种登录凭证、匿名资源、隐蔽通道等网络攻击资源,对某些特定目标发起数起定向攻击。Oilrig团伙武器库包含大量定制工具,随着安全行业对其的不断曝光,Oilrig使用的攻击武器和手法持续升级。
从攻击入口来看,Oilrig主要采用鱼叉攻击、社工钓鱼、水坑攻击等方式实施组合攻击。
此外,Oilrig还善于使用通信隐匿技术来规避检测和追踪,比如:通过Exchange Web Services (EWS))API实现高可信度、高隐匿性的“EWS隧道技术”。通过大量案例分析,总结出Oilrig以下特点:
- 该组织主要依赖社会工程学实施攻击,利用钓鱼网站窃取用户凭据,例如OWA;
- 当该组织获取系统访问权限后,使用密码抓取器Mimikatz工具dump账户凭据信息,窃取登录的账户凭据;
- 利用窃取的账户凭证进行横向移动;
- 过去攻击中从未使用0day漏洞,但会在攻击中利用已修补的漏洞的相关利用代码;
- 当获取系统凭据后,偏好于使用工具而不是后门程序来访问系统,如远程桌面或putty。
(一)攻击手段
1. 鱼叉攻击
鱼叉攻击是OilRig最常使用并且最擅长的方法,通常以下面三种方式作为初始攻击:通过电子邮件中夹带含有恶意宏的Office文件(DOX或EXCEL等);电子邮件中直接发送恶意链接;LinkedIn以招聘的方式发送链接传播恶意文件。此外,为了提高攻击效率,OilRig会在发送鱼叉文件前对恶意代码逃避安全检测的能力提前测试。
2. 水坑攻击
OilRig主要通过钓鱼的方式实施水坑攻击,并且其中用于制造水坑的网站都是伪造的。2017年,OilRig伪造了Juniper Networks VPN的网站,并使用Juniper的电子邮件帐户发送邮件诱骗目标。恶意电子邮件中的链接指向该虚假网站,并要求用户输入用户名和密码,随后要求受害者安装“VPN 客户端”,而软件中捆绑了OilRig的恶意软件Helminth 。
3. 数据信息破坏擦除
与该国支持的其他黑客一样,OilRig同样喜好部署“摧毁性”恶意软件。IBM曾披露OilRig使用数据破坏软件ZeroCleare瞄准中东能源和工业部门发动攻击,初步估算已有1400台设备遭感染。ZeroCleare和令沙特石油巨头闻风丧胆的破坏性恶意软件Shamoon属于同宗,均由出自该国顶级黑客组织一手开发。
(二)使用工具及技术特征
OilRig使用的网络武器主要包括:键盘记录工具(KEYPUNCH)、桌面屏幕截图捕获(CANDYKING)、后门(POWRUNER)和 域生成算法功能(BONDUPDATER)等。
在其工具库泄露后,该组织为了避免检测,一直在努力改造和更新其有效载荷库,并创建了几种不同的恶意软件变体。同时,OilRig也在不断更新武器库,包括DGA生成C2域名,利用 DNSExfiltrator 等工具隐藏其数据流量等,表明该组织也在不断寻求反侦测的策略。
以下为OilRig使用工具的特点:
- 使用定制和开源软件工具进行DNS 渗漏;
- 使用自定义的DNS Tunneling协议进行命令控制和数据回传;
- 该组织利用自定制的webshell后门程序维持对服务器的持久访问;
- 基于电子邮件的C2使用 Exchange Web 服务和隐写术,例如将数据和命令插入到电子邮件的图像文件中。
知名攻击事件
(一)OilRig首次被揭开面纱
2016年5月,OilRig攻击沙特阿拉伯国防工业部门被安全厂商Palo Alto Network【2】发现,并将此事与两年前的相似攻击事件关联,揭开OilRig的“神秘面纱”。
此次事件OilRig使用两种攻击方式:第一种是Excel夹带恶意宏传播VB和PowerShell脚本,下载Helminth木马入侵电脑,通过DNS请求窃取数据;第二种是通过邮件ZIP附件来传播Windows可执行文件。
(二)针对中东政府利用Office漏洞传播后门
2017年11月,OilRig针对中东政府进行鱼叉攻击,并利用Office漏洞传播.rtf恶意文件【3】。恶意文件利用CVE-2017-11882漏洞破坏堆栈内存,然后将恶意数据压栈,经过一系列步骤执行,建立与命令和控制(C2)服务器的连接。
此次攻击中,OilRig使用了基于PoweShell的后门POWRUNER,以及一个具有域名生成算法功能的下载器BONDUPDATER。
(三)利用社工技术伪装实施攻击
2019 年 6 月,Oilrig伪装成剑桥大学成员的身份以获得受害者信任,并使用 Linkedin私信传递恶意软件【4】,主要针对能源、公用事业、政府油气等多行业人员。
Oilrig使用了其特定变种软件 PICKPOCKET 被Fireeye识别并拦截,后披露这次攻击中使用了三款最新恶意软件:Tonedeaf(后门)、ValueVault(浏览器凭证窃取)和Longwatch(键盘记录器)。
(四)使用数据擦除破坏中东能源机构数据
2019 年12月,IBM披露Wiper 类恶意软件“Zeroclear”,可以删除感染设备数据,主要针对中东能源和工业部门进行破坏性攻击,初步估算有1400台设备受到感染【5】。
报告认为,ZeroCleare极其危险,利用域控制器 (Domain Controllers) 可以在组织中迅速传播。报告表示从受害目标、IP关联以及使用软件的相关联系可以推测此次攻击可能源自OilRig。
(五)2021年对中东的最新攻击活动
2021年1月至4月期间,OilRig针对中东地区再次实施攻击,采用Word诱饵文档作为初始攻击【6】。文档伪装成“黎巴嫩海军战舰就绪清单”、“Ntiva公司的招聘信息”(美国IT服务商)等诱饵文件作为攻击入口,结合窃取的Exchange账号完成组合入侵。OilRig在文档正文中添加诱导性描述以诱使目标启用恶意宏代码,从而植入后门程序。
值得一提的是,此次攻击内置了黎巴嫩政府等与诱饵文件相符的Exchange邮箱账户登陆凭证,推测攻击者在先期准备阶段已成功入侵了有关组织或与其具有信任关系的邮件账户,并借高可信Exchange服务器为信任节点中转通信,隐藏恶意行为。
总结
总体而言,OilRig代表了该中东国家网军的最高网络攻击水平,是以实其政治目的为主要目标的APT组织。
其攻击范围主要针对中东国家(以色列为主)及敌国美国,近几年来我国也成为了其攻击目标。
OilRig的初始攻击虽然简单直接,但是结合其收集的登录凭证等数据使得受害者无法甄别。此外,OilRig擅长使用流量隐藏技术使得技术人员更加难以发现及追踪。
注解
- https://ti.qianxin.com/uploads/2021/02/08/dd941ecf98c7cb9bf0111a8416131aa1.pdf
- https://unit42.paloaltonetworks.com/unit42-oilrig-actors-provide-glimpse-development-testing-efforts/
- https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html
- https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html
- https://www.ibm.com/downloads/cas/OAJ4VZNJ
- https://research.checkpoint.com/2021/irans-apt34-returns-with-an-updated-arsenal/
