当APT组织碰到另一个APT组织,他们在聊些什么?

注:本文以对话形式还原报道内容以期减少读者用眼负担,顺带希望增加一点趣味性。

背景介绍:Sofacy和Turla(均为APT组织)都在莫斯科郊外跑步。两人不期而遇。

Turla:Sofacy!好久不见啊,最近还有空出来跑步啊?来来来,抽根烟聊聊。最近你的新闻不少啊。

Sofacy边点烟边说道:别提了,最近忙坏了。不过身体是革命的本钱啊,要好好锻炼身体,我的愿望是再跟友军斗争50年。

Turla:哈哈,有志气。第二季度有啥新动作?

Sofacy:研究了下绕过检测的新方法、编造了新的payload释放、找0day漏洞和后门感染用户、继续待在机器上。

Turla:看来你很上进。对了,我听说四月份你用了两种新的宏技术。一种技术利用的是Windows的certutil工具提取payload。另外一种技术把payload内嵌到恶意Office文档的EXIF元数据里了。

Sofacy:说起来这技术让卡巴斯基实验室研究员大开眼界啊,哈哈,他们第一次见我用这技术。

Turla:他们说其实你早在2016年12月份就开始用这俩技术了。在法国大选前夕你用这两种技术攻击法国政党成员。6月份那帮人看到你更新了一个用Delphi编写的payload,Zebrocy。Zebrocy的5.1版本还实现了新的加密密钥以及一些字符串混淆,更容易地绕过检测功能。这些都是真的吗?还有那帮人在2016年中就觉得你跟Zebrocy扯不清了。说你们在基础设施方面存在某些联系。他们还发现了也是用Delphi编写的另外一个payload,Delphocy。2015年末,他们从你那看到Delphi,之前他们都没见过。他们推测你雇佣了一个啥都不用只用Delphi编写程序的程序员。就在这段时间他们还发现了另外一个感染也跟Delphi共享某些代码,就把你扯进来了。这些都是真的吗?

Sofacy:真亦假时假亦真,假亦真时真亦假。

Turla:高深!

Sofacy:你这消息还挺灵通啊。我就混口饭吃,没想到给别人带来的麻烦挺多啊。就说你吧,人家卡巴斯基实验室研究员说了,咱俩之间也有说不清道不明的关系。

Turla:哈哈。可不是嘛,他们说咱都跟俄罗斯有关联,就像今天跑个步还能碰到。(情不自禁地唱起来)深夜花园里四处静悄悄/只有风儿在轻轻唱/夜色多么好心儿多爽朗/在这迷人的晚上/长夜快过去天色蒙蒙亮/衷心祝福你好姑娘/但愿从今后你我永不忘/莫斯科郊外的晚上……

Sofacy:(跟唱)在这莫斯科郊外的晚上。哈哈。话说回来,他们说在我活动期间,你搞了一个EPS 0day (CVE-2017-0261) 攻击外国外交部等部门和政府啊。你这段位高。他们还说咱俩共享供应链呢。

Turla:哈哈,见笑见笑。还供应链呢,咋不弄个区块链赶赶时髦呢?

Sofacy:老兄真逗。

Turla:老兄你是白道黑道都有一条道啊。不聊咱了。由它去吧。八卦下别人。

Sofacy:我最爱听八卦了。那帮研究员又有啥新发现?

Turla:他们还讨论了一个讲中东地区语言的组织BlackOasis。他们说BlackOasis是专门从事监控和监视设备如FinFisher的英国公司Gamma集团的客户。据说这个叫Brian Bartholomew的研究员研究了一年半了。他们说BlackOasis过去用了不少0day漏洞,比如CVE-2016-4117、CVE-2016-0984和CVE-2015-5119。他们还说BlackOasis是第一个用OLE2Link 0day漏洞CVE-2017-0199的,他的末端payload是FinSpy的新变体,专门阻止研究人员分析的。

Sofacy:看来研究人员们还真有两把刷子啊。他们说没说EQUATIONVECTOR后门?

Turla:就“别人肚子里的蛔虫”这一点,我特服你。啥都让你说中了。他们聊了这个属于NOBUS(只针对美国的后门)的后门,它能执行shellcode payload。他们还聊了Lamberts APT组织的扩展Gray Lambert。它更先进,能等待、睡眠并嗅探网络,一直到使用的时候还是如此。他们说功能可强大了,能对多台受感染机器进行精准打击。把它安装到设备上,咱就能判断出怎么给payload、命令和攻击分配空间。

Sofacy:不错啊,这个有意思。还有没有别的了?没预测个趋势啥的?他们这帮人最爱找规律了。你说咱要是按套路出牌不早就死翘翘了?

Turla:可不是嘛,谁知道他们呢,预测倒是说了两嘴。他们说了,之后咱们还会用这些战术、技术和程序 (TTP)。比如咱可能会扰乱各国大选啊什么的,还拿你举例子说散布虚假消息。以后使用有争议的合法监控工具的人就越来越多了。

Sofacy:他们没说说勒索软件的事儿?

Turla:说了,说可能还会发生勒索事件,不过他们也摸不透咱会不会一定使用。

Sofacy:这话靠谱。

Turla:他们说破坏攻击和wiper攻击发生的频率比较低。要出现的话也应该不是脚本小子们能承受的,说咱们APT组织可能会用来制造大新闻。不过他们说咱要是用的话,也跟攻击索尼影视的那帮人手法差不多。他们说咱不地道,刚开始跟人勒索钱,结果交不交钱都会泄露数据。估计他们很无语啊。

Sofacy:哈哈,谁让APT组织水很深不知深几许呢?他明我暗,打几个回合下来他们也不见得能辨认出谁是谁来。由他们去吧。

Turla:好嘞。不过话说回来还是要当心啊,这世道乱的,得做好打长期战的准备。

于是,Sofacy和Turla互道珍重,就此别过。

原文链接:http://bobao.360.cn/news/detail/4257.html

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。