欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

比ShadowBrokers抢先一步?间谍组织Buckeye在美国国安局黑客工具泄露之前就率先使用

来源:本站整理 作者:佚名 时间:2019-05-12 TAG: 我要投稿

2017年,一个自称为Shadow Brokers(影子经纪人)的神秘组织,泄露了著名的Equation组织的一系列黑客工具,该事件也随即成为近年来最重要的网络安全事件之一。Equation组织(方程式组织,美国国家安全局NSA下属组织)被认为是世界范围内技术最成熟的间谍组织之一,其工具的泄露,显然对安全领域产生了重大影响,许多攻击者纷纷利用泄露的工具实现恶意软件的制作和实际攻击。其中一个更为著名的工具,即EternalBlue(永恒之蓝)漏洞利用工具,被广泛用于2017年5月爆发的WannaCry勒索软件之中,并对世界范围内的用户产生了破坏性影响。
然而,Symantec已经发现有证据表明,Buckeye网络间谍组织(又名APT3、Gothic Panda)在Shadow Brokers泄露Equation组织工具包前至少一年,就开始使用Equation的工具。
从2016年3月开始,Buckeye开始试用DoublePulsar(Backdoor.Doublepulsar)工具的变种,该利用工具在2017年才由Shadow Brokers公开发布。DoublePulsar(双脉冲星SMB后门)专门使用自定义的漏洞利用工具(Trojan.Bemstour)实现对受害者的感染。
Bemstour利用两个Windows漏洞,在目标计算机上实现远程内核代码执行。其中,一个漏洞是Symantec发现的Windows 0-day漏洞(CVE-2019-0703),另一个漏洞(CVE-2017-0143)在2017年3月发现被EternalRomance和EternalSynergy这两个漏洞利用工具利用后即被修补,而后者提到的两个漏洞利用工具,也是Shadow Brokers泄露的NSA工具包中的一部分。
其中的第一个0-day漏洞,将导致信息泄露,并且一旦与其他漏洞共同利用,将获得远程内核代码执行。Symantec在2018年9月向Microsoft报告这一问题,Microsoft在2019年3月12日进行了漏洞修复。
Buckeye间谍组织是从什么途径,能够在Shadow Brokers泄露Equation组织工具包的至少一年前获得这些工具?这个问题的答案我们仍然未知。
Buckeye组织在2017年年中消失在人们的视线范围之中,该组织的3名成员在2017年11月在美国被起诉。然而,尽管涉及已知Buckeye工具的恶意活动在2017年年中停止,但Beckestour漏洞利用工具和Buckeye使用的DoublePulsar变种仍然在2018年9月被用于与不同的恶意软件共同使用。
核心发现
1. Buckeye攻击组织在Shadow Brokers泄露Equation组织工具包的至少一年前,就使用这些工具获取对目标组织的持久访问。
2. Buckeye所使用的Equation组织工具的变种,似乎与Shadow Brokers发布的工具不同,这可能表明二者的来源不同。
3. Buckeye使用的Equation组织工具,还涉及到利用了以前未知的Windows 0-day漏洞。Symantec在2018年9月向Microsoft报告了这一漏洞,Microsoft在2019年3月进行了修复。
4. 尽管Buckeye似乎在2017年年中停止运营,但他们使用的Equation组织工具,被持续用于攻击,直至2018年年底。我们暂不清楚是谁使用了这些工具,但推测这些工具可能已经被传播到其他的恶意组织,或者Buckeye仍然在持续运营中。

0-day漏洞利用历史
Buckeye攻击组织至少在2009年就开始活跃,当时该组织发起一系列间谍攻击活动,主要针对美国的组织。
在历史上,该组织曾经利用过0-day漏洞。在2010年,他们使用过CVE-2010-3962的0-day漏洞进行攻击,在2014年,他们使用过CVE-2014-1776漏洞进行攻击。此外,还有疑似该组织使用的一些其他0-day漏洞攻击记录,但我们尚未对其可靠性进行确认。目前我们已知,或者怀疑该组织开展的所有0-day攻击,都是针对Internet Explorer和Flash中的漏洞。
攻击时间表
从2016年8月开始,一个自称为Shadow Brokers(影子经纪人)的组织开始发布声称来源于Equation(方程式)组织的工具。最初,他们发布了他们拥有的信息样本,并为出价最高者提供了全套工具。在接下来的几个月中,他们逐步发布了更多的工具,直到2017年4月,发布了最后的大量工具,其中包括DoublePulsar后门、FuzzBunch框架、EternalBlue漏洞利用工具、EternalSynergy漏洞利用工具和EternalRomance漏洞利用工具。
然而,Buckeye至少在一年前就已经使用过这些被Shadow Brokers在一年之后泄露的工具。Buckeye最早使用Equation工具的时间是2016年3月31日,用于攻击位于香港的目标。在此次攻击中,Bemstour漏洞利用工具通过已知的Buckeye恶意软件(Backdoor.Pirpi)被传递给受害者。在一小时后,Bemstour漏洞利用工具被用于攻击位于比利时的一家教育机构。
Bemstour是专门设计用于提供DoublePulsar后门的变种。随后,利用DoublePulsar注入第二阶段Payload,该Payload仅在内存中运行。即使是在删除DoublePulsar之后,第二阶段Payload也能够允许攻击者访问受影响的计算机。值得注意的是,在该工具的早期版本中,没有卸载DoublePulsar植入工具的任何方法。卸载功能已经在更高版本中被添加。
Bemstour漏洞利用工具的一个显著改进版本是在2016年9月推出,当时新推出版本的恶意软件被用于针对香港的教育机构发动攻击。尽管原始版本仅支持32位操作系统,但新推出的版本同时支持32位和64位系统,也增加了对较新版本Windows系统的支持。第二种变种中,Payload增加了另一个新的功能,允许攻击者在受感染的计算机上执行任意Shell命令。该自定义Payload还可以复制目标计算机的任意文件,以及在目标计算机上执行任意进程。当目标是32位操作系统时,Bemstour仍然会提供相同的DoublePulsar后门。但是,针对64位目标,它仅提供自定义Payload。攻击者经常使用该工具来执行创建新用户帐户的Shell命令。
Bemstour在2017年6月被再次用于攻击卢森堡的一个组织。与Bemstour使用Buckeye的Pirpi后门交付的早期攻击不同,在此次攻击中,Bemstour被另一个后门木马(Backdoor.Filensfer)交付给受害者。2017年6月至9月期间,Bemstour还被用于攻击菲律宾和越南的目标。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载