Kaspersky通过分析影子经纪人(shadow brokers)的“Lost in Translation”数据转储,发现了一个以前未知的APT组——DarkUniverse。
2017年,一个名为影子经纪人(shadow brokers)的黑客组织从与国安局相关的方程式组织(equation group)的军火库窃取了恶意软件和黑客工具,然后在网上公布了名为“Lost in Translation”的数据转储。
转储还包括一个有趣的名为sigs.py的Pyton脚本用来检查受损系统中其他APT组的痕迹。
对脚本的分析揭示了Kaspersky实验室追踪的一个神秘的APT团体的存在,即DarkUniverse。这个团体从2009年以前到2017年一直都很活跃。
研究人员以中等信心这个团体进行了评估,由于其独特的代码重叠,DarkUniverse处于ItaDuke活动的保护伞之下。APT组织至少从2013年起就开始活跃起来,其利用PDF零日漏洞攻击来删除目标系统上的恶意软件,并利用Twitter帐户传递C2 URLs。
DarkUniverse APT 使用武器化的microsoft office文档进行鱼叉式网络钓鱼攻击,每个电子邮件都是为每个受害者分别准备的。
威胁执行者在发送每个恶意软件之前立即对其进行编译,并始终使用可执行文件的最新可用版本。专家注意到攻击者十分机智,他们注意到该框架会随着时间的流逝发生重大变化。
嵌入在文档中的可执行文件会删除目标系统上的两个动态链接库updater.mod和glue30.dll。
updater.mod模块负责提供与C2服务器的通信,提供恶意软件完整性和持久性机制,并管理其他恶意软件模块;glue30.dll恶意软件模块提供键盘记录功能。
Kaspersky发表分析认为:“Glue30.dll恶意软件模块提供键盘记录功能。mod模块使用Win API函数SetWindowsHookExW安装键盘挂钩,并将glue30.dll注入获取键盘输入的进程之后,glue30.dll加载并开始截取每个挂接进程的上下文中的输入。”
msvcrt58.sqt模块拦截未加密的POP3流量,以收集电子邮件会话和受害者的凭据。此模块从以下进程中查找流量:
- outlook.exe;
- winmail.exe;
- msimn.exe;
- nlnotes.exe;
- eudora.exe;
- thunderbird.exe;
- thunde~1.exe;
- msmsgs.exe;
- msnmsgr.exe.
Kaspersky 确定了叙利亚,伊朗,阿富汗,坦桑尼亚,埃塞俄比亚,苏丹,俄罗斯,白俄罗斯和阿拉伯联合酋长国约20名受害者,但专家们认为,2009年至2017年之间的受害者人数要多得多。
攻击者在MyD驱上使用云服务器上的C2服务器。尤其是针对每个受害者,操作员创建了一个新帐户并上传了其他恶意软件模块和一个包含要执行命令的配置文件。
卡巴斯基总结说:“DarkUniverse是一个使用了至少八年的完整网络间谍活动框架的有趣示例。该恶意软件包含用于收集有关用户和受感染系统的各种信息的所有必要模块,并且看起来完全是从头开发的。”
“其操作的中止可能与’Lost in Translation’泄漏的发布有关,或者攻击者可能只是决定转向更现代的方法,开始使用更广泛可用的人工制品进行操作。”
