新APT組織穆倫鯊(MurenShark) 調查報告:襲向土耳其海軍的魚雷
2022年第二季度,綠盟科技伏影實驗室監測到了一系列針對土耳其的網絡攻擊活動。經過分析,研究人員確認本輪攻擊活動來自一個由伏影實驗室于21年4月確認的新型威脅實體Actor210426。伏影實驗室通過行為模式、攻擊手法、攻擊工具、攻擊目標等線索,對該威脅實體進行了深入調查,確認了其獨立性與高級威脅性質。
基于該威脅實體的活動區域與近期攻擊目標(土耳其海軍項目“MüREN”),伏影實驗室將其正式命名為穆倫鯊(MurenShark),對應綠盟科技高級威脅組織標識為APT-N-04。
已監測活動中,穆倫鯊的主要目標區域包括土耳其和北塞浦路斯地區,攻擊范圍覆蓋高校、研究所和軍隊等領域的多個敏感目標,尤其對軍工項目展現明顯的興趣,已經實施了成功的網絡間諜活動。
穆倫鯊組織人員具有豐富的對抗經驗,擅長反分析和反溯源。調查顯示,已暴露的攻擊活動只是該組織行動的冰山一角,攻擊目標與攻擊組件方面不連續的迭代軌跡說明該組織的大量活動仍隱藏在迷霧當中。
本報告將分享該組織的各維度特征,與已知APT組織的關系、以及伏影實驗室在調查過程中的其他發現。
組織信息
穆倫鯊組織是一個活躍于中東地區的新型威脅實體,主要攻擊目標國家為土耳其,已發現的目標包括北塞浦路斯地區高校、土耳其軍隊和土耳其國家科研機構。
穆倫鯊的主要攻擊手法包括投遞釣魚文檔與攻擊線上服務,直接目的包括擴充攻擊資源、滲透目標網絡、竊取關鍵數據。該組織已知的魚叉式攻擊最早出現在2021年4月,對高校網站的入侵行為則早于該日期。
穆倫鯊具有豐富的對抗經驗,擅長的手段包括通過跳板節點隱藏攻擊者信息、通過組件拆分阻礙流程復現、使用第三方方案減少代碼特征等。
穆倫鯊在已實施的活動中較好地隱藏了攻擊者信息,目前尚無法確認該組織的地域歸屬。
綠盟科技攻擊技術矩陣
下圖展示了穆倫鯊的攻擊技術矩陣,包含該組織攻擊者和開發者掌握的能力以及該組織借助第三方工具實現的能力。
圖 1 穆倫鯊綠盟科技攻擊技術矩陣
典型活動
穆倫鯊并不是一個很活躍的攻擊者,其攻擊活動分布具有明顯的聚集性。
穆倫鯊最近的一輪活動集中在今年8月上旬,攻擊者投遞了多種形式的土耳其語釣魚文檔,對土耳其特定目標進行攻擊。
該輪攻擊活動中出現的釣魚文檔帶有如下文件名:
表1 穆倫鯊部分釣魚文檔文件名
第一種釣魚文檔顯示的標題為“關于 MüREN 關鍵設計文檔的意見”(MüREN KR?T?K TASARIM DOKüMANINA Y?NEL?K G?Rü?LER),抬頭部分顯示文檔來自“海軍司令部第一潛艇艦隊TCG薩卡里亞號指揮部”:
圖2 釣魚文檔A
該文檔詳細記錄了土耳其海軍對一種名為“MüREN ”的潛艇內系統的修改意見,文檔日期顯示為2022年六月。
另一類釣魚文檔顯示的標題為國家生產綜合水下作戰管理系統預級應用項目MüREN-PREVEZE(M?LL? üRET?M ENTEGRE SUALTI SAVA? Y?NET?M S?STEM? PREVEZE SINIFI UYGULAMASI (MüREN-PREVEZE) PROJES?),顯示該文檔來自土耳其科技研究院信息學與信息安全先進技術研究中心(TüB?TAK B?LGEM):
圖3 釣魚文檔B
該釣魚文檔對應一種名為“MüREN-PREVEZE”的軟件系統的說明文件。
查詢相關關鍵詞后,伏影實驗室確定上述兩種文檔來自土耳其軍方項目“MüREN”。這是一種在潛艇上搭載的水下作戰管理系統(CMS),由土耳其科技研究院TüB?TAK設計(https://bilgem.tubitak.gov.tr/tr/haber/akya-torpidosu-muren-prevezeye-entegre-ediliyor),并已在21年測試完成,在22年提供給土耳其海軍司令部(https://raillynews.com/2021/11/denizaltilari-muren-yonetecek/)。土耳其海軍對MüREN項目給予很大期望,認為該項目能夠推動土耳其海軍系統國產化,并成為土耳其國家級潛艇項目“MILDEN”的關鍵一步(https://www.navalnews.com/naval-news/2021/11/turkeys-new-submarine-cms-muren-to-enter-service-in-2022/)。
根據多種跡象和關聯線索推斷,穆倫鯊在8月上旬的活動主要目標為“MüREN”項目的相關人員,包括土耳其科技研究院的項目設計人員與土耳其海軍的項目審核人員。
通過目前已掌握的信息,伏影實驗室無法判斷本輪攻擊是否已達成預定目的,但從誘餌文檔的內容可以看出,穆倫鯊已通過其他攻擊活動成功入侵土耳其科技研究院內部并已竊取高價值的文檔內容。
穆倫鯊在更早的攻擊活動中展現了完全不同的攻擊傾向。在伏影實驗室已報道的一輪攻擊活動(http://blog.nsfocus.net/apt-dogecoin/)中,該組織使用一種與多吉幣(Dogecoin)相關的報告文檔作為誘餌,對虛擬貨幣的關注者進行了釣魚攻擊:
圖4 釣魚文檔C
除誘餌文檔發現地區為土耳其外,穆倫鯊在該活動中未暴露其他信息。
受國家經濟政策影響,加密貨幣行業在土耳其熱度極高。結合組織活動軌跡,伏影實驗室推斷該類釣魚攻擊是穆倫鯊組織粗精度釣魚活動的一部分,主要目標同樣為土耳其。黑客組織通常會依靠此類具有高話題度的誘餌文檔,進行大范圍的信息收集活動,再從獲取的情報中篩選高價值信息。
典型攻擊流程
穆倫鯊頻繁使用一種具有代表性的攻擊流程,并持續對該流程和其中的組件進行改良。
下圖展示了該組織在21年的活動中使用的典型流程:
圖5 攻擊流程A
該攻擊流程由穆倫鯊的三種主要攻擊組件NiceRender、UniversalDonut、LetMeOut、失陷站點neu.edu.tr、以及第三方攻擊工具CobaltStrike組成,最終實現竊取受害者主機中的數據、以及在受害者主機所在域內進行橫向移動的目的。
下圖展示該組織在近期針對土耳其海軍與科研機構的攻擊活動中使用的改進型流程:
圖6 攻擊流程B
該流程同樣由三種主要組件以及相同的失陷站點組成。區別在于穆倫鯊攻擊者在該流程中使用了新型NiceRender文件,同時進一步縮短了流程的生命周期,這些操作使沙箱類安全產品難以復現完整執行過程。
穆倫鯊是一個針對土耳其的新型APT組織。伏影實驗室通過調查分析,挖掘了該組織的主要活動和主要技術、確定了其獨立性和APT屬性。調查結果顯示,該組織具有明確的攻擊目標和豐富的對抗經驗,也保留了大量謎團等待解答。
中東地區復雜的國際關系催生了大量APT組織,多個組織具有對土耳其的攻擊歷史。穆倫鯊究竟是濁浪過后的潺潺細流,還是深埋之下的暗流涌動,目前尚未可知。伏影實驗室將持續關注該組織的活動和變化。
