起底國家級APT組織:OilRig (APT-Q-53)
國家級APT(Advanced Persistent Threat,高級持續性威脅)組織是有國家背景支持的頂尖黑客團伙,專注于針對特定目標進行長期的持續性網絡攻擊。
奇安信旗下的高級威脅研究團隊紅雨滴(RedDrip Team)每年會發布全球APT年報【1】、中報,對當年各大APT團伙的活動進行分析總結。
虎符智庫特約奇安信集團旗下紅雨滴團隊,開設“起底國家級APT組織”欄目,逐個起底全球各地區活躍的主要APT組織。本次鎖定主要攻擊中東地區政府、能源、化工及電信等行業的國家級黑客團伙:OilRig。
04 Oilrig
OilRig是中東某國政府支持的APT組織。主要針對中東國家實施攻擊,近幾年來我國也成為了其攻擊目標。
該APT組織知名度較高,代表了該國網軍的最高網絡攻擊水平。奇安信內部跟蹤編號為APT-Q-53。
背景
OilRig又名HelixKitten、APT34、 GreenBug、ITG13 等稱號,是中東某國政府支持下知名度最高的APT組織之一。
自2014年被發現以來,OilRig一直非常活躍,主要針對中東國家實施攻擊,其次是美國、土耳其、英國等西方國家,也包括中國和印度。
OilRig攻擊目標具體包括包括政府、媒體、及技術服務提供商等組織,行業包括金融、政府、能源、化工和電信等領域。
從攻擊目標可以看出,OilRig與該國國家利益和作戰時間保持基本一致,更加關注涉及其國家利益的細節情報。2019年OilRig遭受重大打擊,大量與該集團相關的信息通過Telegram被公開。泄露內容包括十余名成員的詳細個人信息及若干網絡武器。其公開內容使得安全廠商們在后續一系列溯源都有了方向。
攻擊特點手段、工具
長期以來,OilRig通過大量收集并整合各種登錄憑證、匿名資源、隱蔽通道等網絡攻擊資源,對某些特定目標發起數起定向攻擊。Oilrig團伙武器庫包含大量定制工具,隨著安全行業對其的不斷曝光,Oilrig使用的攻擊武器和手法持續升級。
從攻擊入口來看,Oilrig主要采用魚叉攻擊、社工釣魚、水坑攻擊等方式實施組合攻擊。
此外,Oilrig還善于使用通信隱匿技術來規避檢測和追蹤,比如:通過Exchange Web Services (EWS))API實現高可信度、高隱匿性的“EWS隧道技術”。通過大量案例分析,總結出Oilrig以下特點:
- 該組織主要依賴社會工程學實施攻擊,利用釣魚網站竊取用戶憑據,例如OWA;
- 當該組織獲取系統訪問權限后,使用密碼抓取器Mimikatz工具dump賬戶憑據信息,竊取登錄的賬戶憑據;
- 利用竊取的賬戶憑證進行橫向移動;
- 過去攻擊中從未使用0day漏洞,但會在攻擊中利用已修補的漏洞的相關利用代碼;
- 當獲取系統憑據后,偏好于使用工具而不是后門程序來訪問系統,如遠程桌面或putty。
(一)攻擊手段
1. 魚叉攻擊
魚叉攻擊是OilRig最常使用并且最擅長的方法,通常以下面三種方式作為初始攻擊:通過電子郵件中夾帶含有惡意宏的Office文件(DOX或EXCEL等);電子郵件中直接發送惡意鏈接;LinkedIn以招聘的方式發送鏈接傳播惡意文件。此外,為了提高攻擊效率,OilRig會在發送魚叉文件前對惡意代碼逃避安全檢測的能力提前測試。
2. 水坑攻擊
OilRig主要通過釣魚的方式實施水坑攻擊,并且其中用于制造水坑的網站都是偽造的。2017年,OilRig偽造了Juniper Networks VPN的網站,并使用Juniper的電子郵件帳戶發送郵件誘騙目標。惡意電子郵件中的鏈接指向該虛假網站,并要求用戶輸入用戶名和密碼,隨后要求受害者安裝“VPN 客戶端”,而軟件中捆綁了OilRig的惡意軟件Helminth 。
3. 數據信息破壞擦除
與該國支持的其他黑客一樣,OilRig同樣喜好部署“摧毀性”惡意軟件。IBM曾披露OilRig使用數據破壞軟件ZeroCleare瞄準中東能源和工業部門發動攻擊,初步估算已有1400臺設備遭感染。ZeroCleare和令沙特石油巨頭聞風喪膽的破壞性惡意軟件Shamoon屬于同宗,均由出自該國頂級黑客組織一手開發。
(二)使用工具及技術特征
OilRig使用的網絡武器主要包括:鍵盤記錄工具(KEYPUNCH)、桌面屏幕截圖捕獲(CANDYKING)、后門(POWRUNER)和 域生成算法功能(BONDUPDATER)等。
在其工具庫泄露后,該組織為了避免檢測,一直在努力改造和更新其有效載荷庫,并創建了幾種不同的惡意軟件變體。同時,OilRig也在不斷更新武器庫,包括DGA生成C2域名,利用 DNSExfiltrator 等工具隱藏其數據流量等,表明該組織也在不斷尋求反偵測的策略。
以下為OilRig使用工具的特點:
- 使用定制和開源軟件工具進行DNS 滲漏;
- 使用自定義的DNS Tunneling協議進行命令控制和數據回傳;
- 該組織利用自定制的webshell后門程序維持對服務器的持久訪問;
- 基于電子郵件的C2使用 Exchange Web 服務和隱寫術,例如將數據和命令插入到電子郵件的圖像文件中。
知名攻擊事件
(一)OilRig首次被揭開面紗
2016年5月,OilRig攻擊沙特阿拉伯國防工業部門被安全廠商Palo Alto Network【2】發現,并將此事與兩年前的相似攻擊事件關聯,揭開OilRig的“神秘面紗”。
此次事件OilRig使用兩種攻擊方式:第一種是Excel夾帶惡意宏傳播VB和PowerShell腳本,下載Helminth木馬入侵電腦,通過DNS請求竊取數據;第二種是通過郵件ZIP附件來傳播Windows可執行文件。
(二)針對中東政府利用Office漏洞傳播后門
2017年11月,OilRig針對中東政府進行魚叉攻擊,并利用Office漏洞傳播.rtf惡意文件【3】。惡意文件利用CVE-2017-11882漏洞破壞堆棧內存,然后將惡意數據壓棧,經過一系列步驟執行,建立與命令和控制(C2)服務器的連接。
此次攻擊中,OilRig使用了基于PoweShell的后門POWRUNER,以及一個具有域名生成算法功能的下載器BONDUPDATER。
(三)利用社工技術偽裝實施攻擊
2019 年 6 月,Oilrig偽裝成劍橋大學成員的身份以獲得受害者信任,并使用 Linkedin私信傳遞惡意軟件【4】,主要針對能源、公用事業、政府油氣等多行業人員。
Oilrig使用了其特定變種軟件 PICKPOCKET 被Fireeye識別并攔截,后披露這次攻擊中使用了三款最新惡意軟件:Tonedeaf(后門)、ValueVault(瀏覽器憑證竊取)和Longwatch(鍵盤記錄器)。
(四)使用數據擦除破壞中東能源機構數據
2019 年12月,IBM披露Wiper 類惡意軟件“Zeroclear”,可以刪除感染設備數據,主要針對中東能源和工業部門進行破壞性攻擊,初步估算有1400臺設備受到感染【5】。
報告認為,ZeroCleare極其危險,利用域控制器 (Domain Controllers) 可以在組織中迅速傳播。報告表示從受害目標、IP關聯以及使用軟件的相關聯系可以推測此次攻擊可能源自OilRig。
(五)2021年對中東的最新攻擊活動
2021年1月至4月期間,OilRig針對中東地區再次實施攻擊,采用Word誘餌文檔作為初始攻擊【6】。文檔偽裝成“黎巴嫩海軍戰艦就緒清單”、“Ntiva公司的招聘信息”(美國IT服務商)等誘餌文件作為攻擊入口,結合竊取的Exchange賬號完成組合入侵。OilRig在文檔正文中添加誘導性描述以誘使目標啟用惡意宏代碼,從而植入后門程序。
值得一提的是,此次攻擊內置了黎巴嫩政府等與誘餌文件相符的Exchange郵箱賬戶登陸憑證,推測攻擊者在先期準備階段已成功入侵了有關組織或與其具有信任關系的郵件賬戶,并借高可信Exchange服務器為信任節點中轉通信,隱藏惡意行為。
總結
總體而言,OilRig代表了該中東國家網軍的最高網絡攻擊水平,是以實其政治目的為主要目標的APT組織。
其攻擊范圍主要針對中東國家(以色列為主)及敵國美國,近幾年來我國也成為了其攻擊目標。
OilRig的初始攻擊雖然簡單直接,但是結合其收集的登錄憑證等數據使得受害者無法甄別。此外,OilRig擅長使用流量隱藏技術使得技術人員更加難以發現及追蹤。
注解
- https://ti.qianxin.com/uploads/2021/02/08/dd941ecf98c7cb9bf0111a8416131aa1.pdf
- https://unit42.paloaltonetworks.com/unit42-oilrig-actors-provide-glimpse-development-testing-efforts/
- https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html
- https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html
- https://www.ibm.com/downloads/cas/OAJ4VZNJ
- https://research.checkpoint.com/2021/irans-apt34-returns-with-an-updated-arsenal/
