客服QQ:872490018 服务时间:9:00-21:00
有料
关注一切有价值、有料的内容。

当前位置:首页 > 新闻 > 看点 > 正文

当APT组织碰到另一个APT组织,他们在聊些什么?
作者:
2017年08月11日 15:25:01
14147 次阅读
来源: 安全客

注:本文以对话形式还原报道内容以期减少读者用眼负担,顺带希望增加一点趣味性。

背景介绍:Sofacy和Turla(均为APT组织)都在莫斯科郊外跑步。两人不期而遇。

Turla:Sofacy!好久不见啊,最近还有空出来跑步啊?来来来,抽根烟聊聊。最近你的新闻不少啊。

Sofacy边点烟边说道:别提了,最近忙坏了。不过身体是革命的本钱啊,要好好锻炼身体,我的愿望是再跟友军斗争50年。

Turla:哈哈,有志气。第二季度有啥新动作?

Sofacy:研究了下绕过检测的新方法、编造了新的payload释放、找0day漏洞和后门感染用户、继续待在机器上。

Turla:看来你很上进。对了,我听说四月份你用了两种新的宏技术。一种技术利用的是Windows的certutil工具提取payload。另外一种技术把payload内嵌到恶意Office文档的EXIF元数据里了。

Sofacy:说起来这技术让卡巴斯基实验室研究员大开眼界啊,哈哈,他们第一次见我用这技术。

Turla:他们说其实你早在2016年12月份就开始用这俩技术了。在法国大选前夕你用这两种技术攻击法国政党成员。6月份那帮人看到你更新了一个用Delphi编写的payload,Zebrocy。Zebrocy的5.1版本还实现了新的加密密钥以及一些字符串混淆,更容易地绕过检测功能。这些都是真的吗?还有那帮人在2016年中就觉得你跟Zebrocy扯不清了。说你们在基础设施方面存在某些联系。他们还发现了也是用Delphi编写的另外一个payload,Delphocy。2015年末,他们从你那看到Delphi,之前他们都没见过。他们推测你雇佣了一个啥都不用只用Delphi编写程序的程序员。就在这段时间他们还发现了另外一个感染也跟Delphi共享某些代码,就把你扯进来了。这些都是真的吗?

Sofacy:真亦假时假亦真,假亦真时真亦假。

Turla:高深!

Sofacy:你这消息还挺灵通啊。我就混口饭吃,没想到给别人带来的麻烦挺多啊。就说你吧,人家卡巴斯基实验室研究员说了,咱俩之间也有说不清道不明的关系。

Turla:哈哈。可不是嘛,他们说咱都跟俄罗斯有关联,就像今天跑个步还能碰到。(情不自禁地唱起来)深夜花园里四处静悄悄/只有风儿在轻轻唱/夜色多么好心儿多爽朗/在这迷人的晚上/长夜快过去天色蒙蒙亮/衷心祝福你好姑娘/但愿从今后你我永不忘/莫斯科郊外的晚上……

Sofacy:(跟唱)在这莫斯科郊外的晚上。哈哈。话说回来,他们说在我活动期间,你搞了一个EPS 0day (CVE-2017-0261) 攻击外国外交部等部门和政府啊。你这段位高。他们还说咱俩共享供应链呢。

Turla:哈哈,见笑见笑。还供应链呢,咋不弄个区块链赶赶时髦呢?

Sofacy:老兄真逗。

Turla:老兄你是白道黑道都有一条道啊。不聊咱了。由它去吧。八卦下别人。

Sofacy:我最爱听八卦了。那帮研究员又有啥新发现?

Turla:他们还讨论了一个讲中东地区语言的组织BlackOasis。他们说BlackOasis是专门从事监控和监视设备如FinFisher的英国公司Gamma集团的客户。据说这个叫Brian Bartholomew的研究员研究了一年半了。他们说BlackOasis过去用了不少0day漏洞,比如CVE-2016-4117、CVE-2016-0984和CVE-2015-5119。他们还说BlackOasis是第一个用OLE2Link 0day漏洞CVE-2017-0199的,他的末端payload是FinSpy的新变体,专门阻止研究人员分析的。

Sofacy:看来研究人员们还真有两把刷子啊。他们说没说EQUATIONVECTOR后门?

Turla:就“别人肚子里的蛔虫”这一点,我特服你。啥都让你说中了。他们聊了这个属于NOBUS(只针对美国的后门)的后门,它能执行shellcode payload。他们还聊了Lamberts APT组织的扩展Gray Lambert。它更先进,能等待、睡眠并嗅探网络,一直到使用的时候还是如此。他们说功能可强大了,能对多台受感染机器进行精准打击。把它安装到设备上,咱就能判断出怎么给payload、命令和攻击分配空间。

Sofacy:不错啊,这个有意思。还有没有别的了?没预测个趋势啥的?他们这帮人最爱找规律了。你说咱要是按套路出牌不早就死翘翘了?

Turla:可不是嘛,谁知道他们呢,预测倒是说了两嘴。他们说了,之后咱们还会用这些战术、技术和程序 (TTP)。比如咱可能会扰乱各国大选啊什么的,还拿你举例子说散布虚假消息。以后使用有争议的合法监控工具的人就越来越多了。

Sofacy:他们没说说勒索软件的事儿?

Turla:说了,说可能还会发生勒索事件,不过他们也摸不透咱会不会一定使用。

Sofacy:这话靠谱。

Turla:他们说破坏攻击和wiper攻击发生的频率比较低。要出现的话也应该不是脚本小子们能承受的,说咱们APT组织可能会用来制造大新闻。不过他们说咱要是用的话,也跟攻击索尼影视的那帮人手法差不多。他们说咱不地道,刚开始跟人勒索钱,结果交不交钱都会泄露数据。估计他们很无语啊。

Sofacy:哈哈,谁让APT组织水很深不知深几许呢?他明我暗,打几个回合下来他们也不见得能辨认出谁是谁来。由他们去吧。

Turla:好嘞。不过话说回来还是要当心啊,这世道乱的,得做好打长期战的准备。

于是,Sofacy和Turla互道珍重,就此别过。
原文链接:http://bobao.360.cn/news/detail/4257.html


[广告]赞助链接:

舆情监测,互联网舆情首选查舆情:http://www.chayuqing.com/
四季很好,只要有你,文娱排行榜:http://www.yaopaiming.com/

  • 网络尖刀
    公众号:mcbang_com
    数据、技术、运营
  • 知安
    公众号:knowsafe
    黑客、技术、安全
  • 查舆情
    公众号:chayuqing_com
    舆情、文娱、品牌

Copyright © 2013 IjianDao.Com,All Rights Reserved

网络尖刀 版权所有 京ICP备14006288号-3