DUKES—持续七年俄罗斯网络间谍组织大起底1

  0x00 执行概括

  Duke网络间谍小组手头掌握有充足的资源,他们目标明确,行动有条理。我们认为,Duke小组至少从2008年开始就为俄罗斯联邦效力,帮助俄罗斯收集情报,从而制定外交和安全政策。

  Duke的主要目标是西方政府以及与西方政府有关系的一些组织,比如政府部门和机构,政府智囊团和政府性承包商。他们的目标还有英联邦国家;亚洲,非洲和中东政府;与车臣极端分子有关系的组织,以及非法参与药品毒品贸易的俄罗斯人。

  Duke小组最出名的一点就是持有大量的恶意软件工具,比如我们已经发现的MiniDuke, CosmicDuke, OnionDuke, CozyDuke, CloudDuke, SeaDuke, HammerDuke, PinchDuke, 和GeminiDuke。近年来,Duke每年都会发动两次大规模的钓鱼活动,攻击上百名甚至上千名与政府机构及其附属组织相关的人员。

  这些活动利用了“打砸抢掠”方法,用最少的时间收集和窃取尽可能多的数据。如果入侵目标有价值,Duke就会立刻还用另外的工具,转而采用长期隐藏策略,长时间的收集情报。

  除了这些大规模的活动,Duke同时还在不停的实施一些小规模活动,这些活动的针对性更强,使用了不同的工具。这些针对性活动已经至少持续了7年。其目标和持续时间都是根据俄罗斯联邦当时的外交和安全政策而确定。

  Duke会时刻关注与他们的工具相关的研究报告,并采取相应的对策。但是,因为Duke(或他们的赞助者)非常重视他们的行动,所以他们会不断的修改自己的工具,避免检测并重新隐藏起来。他们不会中断自己的行动,而是会在修改工具的同时,持续执行原定的计划。

  在一些极端情况下,即使安全公司和媒体注意到了一些工具时,Duke还可能会继续使用这些不经修改的工具来参与一些活动。从中不难看出,即使他们的工具被曝光,Duke还是相信自己能成功地完成入侵。

  0x01 Duke小组的故事

  正如现在所熟知的,Duke小组的故事以PinchDuke恶意软件工具集为开篇。这个工具集包括多个loader和信息窃取木马。最重要的是,PinchDuke木马样本中总是会出现一个引人注意的文本字符串,我们认为Duke小组会用这个字符串来区分并行的攻击活动。在这些活动标识符中,经常会标明活动日期和活动目标,借此我们可以了解Duke小组更早期的行动。

  2008: 车臣

  我们确定Duke小组最早的行动是2008年11月开始的两次PinchDuke行动。这些活动中使用了PinchDuke样本,其时间戳显示为2008年11月5日和12日。这两个样本中的活动标识符分别是“alkavkaz.com20081105” 和 “cihaderi. net20081112”。

  样本中的第一个活动标识符,是在5号编译的,引用了alkavkaz.com,这个域名关联到了一个土耳其网站,宣称是“车臣信息中心”(图1,第5页)。第二个活动标识符是在12号变异的,引用了cihaderi.net,这也是一家土耳其网站,宣称提供“伊斯兰圣战新闻”,并且网站上有一个车臣板块。

  由于缺少其他从2008年开始或更早期的PinchDuke样本,我们也无法估计Duke小组最早的活动是从什么时间开始的。但是,根据我们对2008年PinchDuke样本的技术分析,我们认为PinchDuke是在2008年夏天部署的。

  事实上,我们认为到2008年秋天,Duke已经开发了至少两个不同木马工具集。我们这一推断是建立在另一个最早的Duke相关工具集-GeminiDuke,这个工具集的编译时间是2009年1月26日。这个样本,类似于早期的PinchDuke样本,已经是一个很成熟的样本,这也是我们认为GeminiDuke是在2008年秋天开发的原因。

  Duke在2008年下半年就已经开发和操作了至少两个木马工具集,因此,我们推测有两种情况,一种是当时Duke的间谍活动规模就已经足够大,需要这样的工具;另一种是Duke预计他们的行动规模会大幅扩张,在未来有必要开发这样的工具。接下来,我们在本文的“工具与技术”章节,更详细地检查了这些Duke工具集。

  词源:命名

  Duke工具集的命名可以追溯到卡巴斯基实验室,卡巴斯基的研究员把他们发现的首个Duke木马命名为了“MiniDuke”。他们在白皮书中说到,他们惊奇的发现MiniDuke后门在传播时利用的漏洞,就是ItaDuke使用的漏洞。名称中的“Duke”是因为研究员联想到了臭名昭著的Duqu威胁。虽然,在名称上有历史渊源,但是,并不是说Duke工具集和ItaDuke木马或Duqu有任何形式的联系。

DUKES---持续七年俄罗斯网络间谍组织大起底1

  随着研究员继续发现其他由MiniDuke的创建小组开发和使用的工具集,“Duke”也一直沿用了下来,所以,我们也用“Dukes”来代指操作这些工具集的那个小组。另外“APT29”指的也是这个小组。

  当然,并不是所有的名称都是严格符合这样的命名习惯,也有例外,具体还要看特定的Duke工具集,其他常用的名称都列在了“工具与技术”章节。

  2009:已知的首次针对西方的攻击活动

  根据在2009年PinchDuke样本中发现的活动标识符,Duke小组在2009年的攻击目标有格鲁吉亚国防部,土耳其和乌干达外交部等组织。另外,从中也可以看出,Duke小组在2009年的时候就已经开始注意与美国和北约相关的政治事件,因为Duke运行了很多针对美国对外政策智囊团的活动,另外的一系列活动针对的是北约在欧洲的一些演习,第三次活动的目标是格鲁吉亚“在北约的信息中心”。

  在这些活动中,最突出的是两类的活动。第一个系列的活动是从2009年4月16日-17日,目标是美国外交政策智囊团,以及波兰和捷克共和国的政府研究所(图1).这些活动利用了特别制作的恶意Microsoft Word文档和PDF文件,通过邮件附件发送给不同的人员,尝试渗透目标组织。

  我们认为这类活动有一个共同的目标,就是收集目标国家对美国在波兰设立“欧洲拦截站”导弹防御基地和在捷克设立雷达站的看法。考虑到这些活动的时间,有趣的是,就在奥巴马总统刚刚在4月5日发表了演讲表明其部署这些导弹防御系统的意图,就在之后的11天,他们就开始了相关行动。

  第二类活动包括两次行动,主要是想收集关于格鲁吉亚与北约关系的信息。第一次行动实用的活动标识符是“natoinfo_ge”,引用的www.natoinfo.ge网站属于格鲁吉亚政府实体,之后重命名为“北约和欧盟信息中心”。虽然,这个标识符本身没有包含日期,我们认为活动开始的日期在2009年6月7日左右,也是PinchDuke的编译日期。我们的论断是通过分析了所有其他PinchDuke样本得到的,样本标识符的日期和编译日期是在同一天中。我们怀疑的第二个活动标识符是一个月后的“mod_ge_2009_07_03”,其目标是格鲁吉亚国防部。

DUKES---持续七年俄罗斯网络间谍组织大起底1

  图1-2008年和2009年的早期活动(左:alkavkaz.com网站的截图,由2008年的PinchDuke样本引用;下:2009年,PinchDuke活动中的诱饵文档,攻击目标有波兰,捷克和美国智囊团。内容好像是从BBC新闻中复制的)

  2010:高加索地区的CosmicDuke危机

  2010年春天,PinchDuke活动攻击了土耳其和格鲁吉亚,但是还有大量的活动攻击了其他英联邦独立国家成员,比如哈萨克斯坦,吉尔吉斯斯坦,阿塞拜疆和乌兹别克斯坦。在这些活动中,有一个活动的标识符是“kaz_2010_07_30”,其目标可能是哈萨克斯坦,值得注意的是这是我们观察到的最后一次PinchDuke活动。我们认为,在2010年上半年,Duke小组慢慢地不再使用PinchDuke,转而利用了一个全新的信息窃取木马,我们称之为CosmicDuke。

  第一个已知的CosmicDuke工具集是在2010年1月16日编译的。在当时,CosmicDuke任然还没有后来加入的凭据窃取功能。我们认为,在2010年春天,PinchDuke的凭证和文件窃取功能正逐渐的加入到CosmicDuke上,PinchDuke就完全弃用了。

  在过渡期间,CosmicDuke经常会内嵌PinchDuke,这样在执行时,CosmicDuke会写入到磁盘上,并执行PinchDuke。然后,PinchDuke和CosmicDuke会在受害主机上独立运行,包括执行独立的信息收集,数据窃取和CC通信– 虽然这两个木马经常使用同一个CC服务器。我们认为其目的是“实地考察”最新的CosmicDuke工具,同时用已经经过考验的PinchDuke来保证行动能成功。

  在测试和开发CosmicDuke期间,Duke作者还开始实验利用权限提升漏洞。特别是在2010年1月19日,安全研究员Tavis Ormandy发现了一个本地权限提升漏洞(CVE-2010-0232)影响了微软Windows系统。Ormandy还附上了漏洞的POC利用源代码。就在七天后,1月26日,Duke编译了一个CosmicDuke组件来利用这个漏洞,允许工具在高权限下运行。

  一个loader加载一切

  Duke小组除了编译组件,在2010年的时候他们还主动开发了和测试了一个新的loader-这个组件会打包所有的核心木马代码并提供另一层混淆。

  这个loader的第一个样本是在2010年6月26日编译的,也就是“MiniDuke”loader的前身,之后的版本在MiniDuke和CosmicDuke得到了广泛的应用。

  我们在2014年发布了一份CosmicDuke白皮书,在其中我们提了提“MiniDuke loader”的历史,在当时,我们观察到这个loader在与MiniDuke使用之前,已经与CosmicDuke使用过。这个loader的第一个样本在2010年夏天投入使用,最近的样本大多是在2015年春天投入使用。

  在这5年来,这个loader与Dukes小组的很多工具都有联系,比如这一版的loader就是用来从三个Dukes工具集中加载木马,包括CosmicDuke,PinchDuke和MiniDuke。

DUKES---持续七年俄罗斯网络间谍组织大起底1

  图2-WHOIS注册信息对比(左:natureinhome.com的原始whois注册信息,是Duke CC服务器的一个域名,由John Kasa在2011年1月29日注册;右:修改后的whois信息,感受一下Dukes小组的幽默)

  2011:奥地利克拉根富特的John Kasai

  在2011年,Dukes又丰富了自己的木马工具集和CC基础设施。虽然Dukes应用了黑掉的网站和有意租来的服务器来作为其CC基础设施,Duke小组很少注册自己的域名,而是通过IP地址来连接他们自己管理的服务器。

  但是,在2010年初,Duke打破常规,分两批注册了大量域名;第一批是在1月29日注册的,第二批是在2月13日注册的。所有这些域名都是用同一个化名注册的:“John Kasai of Klagenfurt, Austria”(图2)。Duke小组在很多活动中都使用了这些域名和木马,一直到2014年。和“MiniDuke loader”一样,这些“John Kasai”域名还提供了一个常用的线程来绑定这些工具和Dukes的基础设施。

  2011: 继续扩张Dukes武器库

  到2011年,Duke已经开发了至少3个不同的木马工具集,包括一些支持组件,比如loader和维持模块。事实上,在开发了新的工具集后,他们会完全弃用一些木马工具集,由此可见他们的武器库范围很广。

  在2011年的时候,Dukes继续扩展了他们的武器库,新增了另外两个工具集:MiniDuke和CozyDuke。前期的工具集-GeminiDuke,PinchDuke和CosmicDuke都是围绕一个信息窃取组件设计的,而MiniDuke是一个简单的后门组件,其目的是在受害主机上实现远程命令执行。我们发现的第一个MiniDuke后门组件样本是在2011年5月发现的。但是,这个后门组件的技术与GeminiDuke非常接近,从某种程度上我们认为它们共用了一样的源代码。因此,MiniDuke的起源可以追溯到GeminiDuke,最早发现的编译日期是2009年1月。

  不同于简单的MiniDuke工具集,CozyDuke是一个用途丰富,模块化的木马“平台”,其功能并不集中于一个核心组件,而是可以通过指令从CC服务器上下载的一系列模块。这些模块用于有选择地给CozyDuke提供必要的功能来完成手头上的任务。CozyDuke的模块平台明显区别于之前的Duke工具集设计风格。

  CozyDuke和先前工具集的风格区别在编码方式上体现的更明显。前面提到的4个工具集都是用木马常用的极简化风格编写的;MiniDuke使用了很多用汇编语言编写的组件。但是,CozyDuke则完全相反。CozyDuke没有用汇编语言或C语言,而是用了C++,抽象性增加了,代价就是复杂性更高了。

  不同于木马,早期的CozyDuke版本还没有混淆或隐藏自己的特性。事实上,它们很开放,功能很详细-比如,早期的样本中有一个没有加密的日志信息。对比来说,甚至是最早期的GeminiDuke样本会加密所有的字符串,避免暴露木马的真实特性。

  最后,早期的CozyDuke版本还有很多元素都会让人联系到传统软件开发项目上,而不是木马。比如,最早的CozyDuke版本利用了Microsoft Visual C++的一个特性-运行时错误检查。这个特性能让程序执行的关键部分自动检查错误,但是,对于木马来说,代价就是木马的功能更容易逆向了。

DUKES---持续七年俄罗斯网络间谍组织大起底1

  图3-MINIDUKE使用的诱饵,以乌克兰为主题的诱饵文档,2013年2月,MiniDuke活动利用

  根据CozyDuke与其他工具集之间的的风格差异,我们推测以前的Duke系列的作者可能有编写木马的背景(或有黑客经历),CozyDuke的作者可能有软件开发经历。

  2012:藏身暗处

  我们还了解一些关于2012年Duke活动的情况。根据2012年的Duke木马样本,Duke小组似乎在继续使用和开发他们的工具。在这之中,CosmicDuke和MiniDuke的使用越来越频繁,但是只接收镜像更新。从另一方面来看,GeminiDuke和CozyDuke很少用于真正的行动中,但是一直在开发中。

  2013: MiniDuke飞的和太阳太近了

  在2013年2月12日,FireEye公布了一份博客,提醒用户注意新发现的Adobe Readers 0-day漏洞CVE-2013-0640?和CVE-2013-0641,有很多攻击活动都在利用这两个漏洞。在FireEye发布文章的8天后,卡巴斯基发现这个漏洞被用于传播另一个不同的木马系列。在2月27日,卡巴斯基和CrySyS实验室公布了一份关于这个木马系列的研究报告,并称之为MiniDuke。

  如我们所知,到2013年2月,在至少4年半的时间中,Dukes小组一直在操作MiniDuke和其他工具集。但是,在这期间他们的木马就被检测到了。事实上,在2009年,AV产品测试组织开始用木马集来对比测试AV产品,其中就有PinchDuke样本。但是直到2013年,更早的Duke工具集才开始放入了合适的上下文。这一点从2013年开始变化。

  使用这些漏洞传播的MiniDuke样本是在2月20号编译的,当时人们已经都知道了这个漏洞的存在。你可能会说既然是在漏洞公布之后,Duke小组只需要复制就可以了。但是我们不是这样认为的。正如卡巴斯基所说的,虽然MiniDuke活动利用的这些漏洞与FireEye公布的基本一致,但是还是有小区别的。其中,最关键的就是MiniDuke漏洞中存在的PDB字符串。当使用特定的编译设置时,编译器就会生成这些字符串,也就是说MiniDuke使用的漏洞组件必须独立编译,这点不同于FireEye的描述。

  我们不知道Duke是不是自己编译的这些组件,还是找别人变异的。但是,Duke不可能像FireEye所说的那样,简单的复制了漏洞二进制,然后再重新利用。

  我们看来,Duke小组在漏洞遭曝光后还坚持使用有三点原因。第一,Duke小组可能对自己的能力相当自信(认为对手的应对速度不够快),他们不在意自己的目标是不是在检查自己有没有被人盯上。第二,Duke认为MiniDuke活动能提供的价值值得去冒险。第三,在FireEye发出提醒之前,Duke小组可能在活动中投入了很多,他们可能无法承受中途而费的代价。

  我们认为,从某种情况上说这三种情况可能是共存的。在这份报告中,你会注意到,这种情况不是个例,而是经常发生的,即使这样,他们还是要按计划执行他们的行动,而不是采取应对策略。

  与卡巴斯基白皮书中说明的一样,MiniDuke活动从2013年2月开始通过钓鱼邮件来发送恶意的PDF附件。这些PDF文件会偷偷地用MiniDuke感染受害人,同时显示一个诱饵文档来迷惑受害者。这些文档的标题有“Ukraine’s NATO Membership Action Plan (MAP) Debates乌克兰加入北约成员行动计划辩论”, “The Informal Asia-Europe Meeting (ASEM) Seminar on Human Rights非正式亚欧会议人权研讨会”和 “Ukraine’s Search for a Regional Foreign Policy乌克兰探求区域外交政策” (图3)。这些活动的目标,据卡巴斯基级称,有的位于比利时,匈牙利,卢森堡和西班牙。根据从MiniDuke的CC服务器上获取的日志文件,卡巴斯基还发现了一些高价值受害者,分别来自乌克兰,比利时,罗马尼亚,捷克共和国,冰岛,美国和匈牙利。

  2013: 令人好奇的案例OnionDuke

  在2月的活动之后,MiniDuke的活动数量有所减少,但是在2013年中并没有完全停止。不过,整个Dukes小组并没有要停下来的迹象。事实上,我们发现了另一个Duke木马工具集-OnionDuke,首次出现在2013年。和CozyDuke类似,OnionDuke设计有丰富的功能,也采用了类似的模块化平台方法。OnionDuke工具集中包括多种模块,用于窃取密码,信息收集,DDoS攻击,甚至是向俄罗斯媒体的网络VKontakte发送垃圾邮件。OnionDuke工具集中还有一个投放器,一个信息窃取器变体和多个不同版本的核心组件,负责与不同的模块交互。

  OnionDuke奇怪的原因是它从2013年夏天开始使用的感染载体。为了传播这个工具集,Dukes小组使用了一个封装器在合法应用程序中整合OnionDuke,创建的种子文件包含有植入了木马的应用。然后上传到托管种子的网站上(图4)。使用这些种子文件下载应用的受害者会感染上OnionDuke。

DUKES---持续七年俄罗斯网络间谍组织大起底1

  图4-ONIONDUKE的木马种子,在这个种子文件中包含有一个植入了OnionDuke工具集的可执行程序

  对于我们观察到的大多数OnionDuke组件,我们注意到的第一个版本是在2013年夏天编译的,说明在这段时间中Duke在开发这个工具集,。但是,我们观察到的第一个OnionDuke 投放器样本,只会和这个工具集中的组件配合使用,这个样本是在2013年2月编译的。这点很重要,因为由此表明在任何Duke行动进入公众视野前,OnionDuke就已经在开发中了。所以,OnionDuke的开发绝对不可能简单的是为了替换过时的Duke木马,而是为了配合其他工具集的使用。由此可见,Dukes计划并行使用这5个木马工具集,Dukes掌握有庞大的资源和能力。

  2013: Dukes与乌克兰

  在2013年,Dukes采用的多数诱饵文档都涉及到乌克兰,包括乌克兰外交部首席副部长签署的一封信,由冰岛驻乌克兰大使馆发给乌克兰外交部的一封信,以及一份名为“乌克兰探寻地区性外交政策”的文档。

  但是,这些诱饵文档是在2013年11月欧洲抗议乌克兰动荡之前编写的。这点非常重要,因为不同于预测,我们真正观察到当Dukes注意到乌克兰局势后,与乌克兰相关的活动量开始下降了,而不是增长。

  这点不同于其他的俄罗斯攻击者(比如Operation Pawn Storm),他们在乌克兰危机后增加了针对乌克兰的活动。这也和我们的分析一致,Dukes的目标是收集情报来支持外交政策的制定。在乌克兰危机之前,当时俄罗斯还在权衡乌克兰的选择,所以,当时乌克兰是Dukes的目标。但是当俄罗斯直接采取行动后,Dukes对乌克兰的态度就不一样。

DUKES---持续七年俄罗斯网络间谍组织大起底1

  图5-COSMICDUKE的诱饵,诱饵文档的截图,似乎是一份购买生长激素的订单,用于2013年9月的CosmicDuke活动

  2013: CosmicDuke对毒品宣战

  在2013年9月,出现了一次转折性事件,CosmicDuke活动攻击了参与非法化学物质贸易的俄罗斯人(图5)。

  卡巴斯基实验室,有时会用‘Bot Gen Studio’来代指CosmicDuke,我们推测‘Bot Gen Studio’是一个木马平台,也叫做“合法间谍软件”工具;因此,他们认为可能是有两个独立的机构在使用CosmicDuke分别来打击毒品经销商和政府部门。但是,我们感觉,攻击毒品销售商和政府的CosmicDuke操控者一定不是两个完全独立的部门。可能是因为公用了同一家木马提供商,但是这也无法解释行动技术和CC基础设施上为什么会出现这么多的重叠。另外,我们感觉攻击毒品经销商是Duke分部的一个新任务,可能是因为毒品贸易涉及到了安全政策问题。我们还任务这项任务是临时的,因为在2014年春天之后,就再也没有观察到类似的活动目标。

  2014: MiniDuke浴火重生

  在2013年的时候,研究人员都注意到了MiniDuke活动,因此其数量大幅的减少了,但是2014年初,这个工具集又全力回归了。所有的MiniDuke组件,从loader到下载器到后门,都经过了简单的升级和修改。有意思的是,通过这些修改我们能了解到其主要目的是重新隐藏自己,避免被检测到。

  在这些修改中,最重要的就要数loader的修改。正是因为这些修改才有了后来的“Nemesis Gemina loader”,因为我们在很多样本中都找到了PDB字符串。但是,这还是迭代后的早期MiniDuke loader。

  我们发现的第一个Nemesis Gemina loader样本(2013年11月14日)是用于加载更新后的MiniDuke后门,但是在2014年春,CosmicDuke中也使用了Nemesis Gemina loader。

  2014: CosmicDuke的兴盛与衰落

  在MiniDuke曝光后,CosmicDuke也遭到了曝光,F-Security在2014年7月2日公布了一份关于CosmicDuke的白皮书。第二天,卡巴斯基也公布了自己的木马研究报告。值得注意的是,虽然CosmicDuke已经使用了超过4年,并且也经过了几次镜像修改和更新,甚至最近的CosmicDuke样本中也常常内嵌维持模块,其中有些能追溯到2012年。这些样本的功能也涵盖了2010年时候CosmicDuke的功能。

  因此,能观察到在7月初,Dukes小组又开始恢复CosmicDuke的一些活动,这也是很有价值的。在当月月底,我们发现了一些在7月30日编译的CosmicDuke样本,在这些样本中,一些在以前版本的样本中出现的无用代码都被删除了。同样,这么多年以来,CosmicDuke样本中也有很多硬编码值是没有修改过的。我们认为木马作者修改或移除了一些他们觉得可能有助于识别和检测的部分,从而避免工具被检测到。

  在修改CosmicDuke的同时,Dukes小组也在修改他们的loader。类似于CosmicDuke工具集,从2010年第一个样本之后,MiniDuke和CosmicDuke使用的loader也经过了重大更新(Nemesis Gemina更新)。同样,大部分的修改工作也是集中在移除多余的代码,尝试区别于旧版本的loader。但是,有意思的是,木马作者还尝试了另外的逃逸技巧-伪造loader的编译日期。

DUKES---持续七年俄罗斯网络间谍组织大起底1

  图6-COZUDUKE诱饵,左:伪装成美国信件传真的诱饵文档,用于CozyDuke活动;右-猴子视频诱饵,也是用于CozyDuke活动

  第一个CosmicDuke样本是我们在首次研究了CosmicDuke之后发现的,这个样本是在2014年7月30日编译的。这个样本使用的loader据说是在2010年3月25日编译的。但是,根据在编译中遗留下来的一些痕迹,我们知道这个loader使用的Boost库版本是1.54.0,只在2013年7月1日公布过。因此,这个编译时间戳一定是伪造的。或许,Dukes小组认为伪造一个更早的时间可能会迷惑到研究人员。

  在2014年到2015年春,Dukes继续在修改CosmicDuke来逃避检测,同时也在实验异或loader的方法。但是,在实验的同时,Dukes小组还在开发全新的loader,我们在2015年春的CosmicDuke活动中发现了首个全新的样本。

  虽然,不出意外,Dukes会根据各大安全公司发布的报告来修改自己的工具集,但是,他们的应对方式还是值得注意的。和2013年2月的MiniDuke报告类似,Dukes小组似乎又优化了接下来的活动优先级来隐藏自己。他们本可以停止使用所有的CosmicDuke(至少是在他们开发出新的loader之前),或让CosmicDuke完全退役,因为他们还有一些其他的工具集是可以使用的。但是,他们只沉寂了很短的时间,在稍微对工具集进行修改后,就又继续行动了。

  2014: CozyDuke和猴子视频

  虽然,我们知道CozyDuke从2011年末出现以来,一直在发展,但是知道2014年7月初,首次大规模的CozyDuke活动才进入了我们的视野。这次活动,和之后的CozyDuke活动一样,首先是用钓鱼钓鱼邮件来模拟成常见的垃圾邮件。这些钓鱼邮件的一些链接最终会导致用户感染CozyDuke。

  在7月初,一些CozyDuke钓鱼邮件会伪装成e-fax送达通知,一种垃圾邮件惯用的主题;并且还使用了“US letter?fax test page”诱饵文档,一年后的CloudDuke也是使用了这个诱饵。但是,在不止一个例子中,邮件中没有使用链接,而是用了压缩文档“Office Monkeys LOL Video.zip”,这个文件托管在DropBox云服务上。有趣的是,这个例子没有使用常规的虚假PDF文件,而是用了一个Flash视频作为诱饵,更具体的说就是2007年的超级碗广告,办公室里的猴子(图6)。

  2014: OnionDuke使用了恶意的Tor节点

  在2014年10月23日,Leviathan 安全集团公布了一份文章,描述了他们发现的一个恶意Tor退出节点。他们注意到这个节点似乎在恶意篡改通过HTTP连接从这个节点上下载的所有可执行程序。如果执行了这些经过篡改的应用,受害者可能就会感染木马。在11月14日,F-Security公布了一份文章,把木马命名为OnionDuke,并发现这个木马与CosmicDuke和其他的Duke工具集存在关系。

  根据我们对OnionDuke的调查,我们认为从2014年4月开始到Leviathan在2014年10月公布报告的大约7个月中,研究人员发现的这个Tor退出节点被被用于包装与OnionDuke相关的可执行程序(图7)。这种方式与2013年夏天通过种子文件来传播木马应用的方式类似。

  在调查通过Tor节点传播的这个OnionDuke变体期间,我们又发现了另一个OinionDuke变体在2014年春成功入侵了一个受害者,这名受害者来自某个东欧国家的外交部。这个变体与通过Tor节点传播的木马在功能上存在很大的差别,也就是说这些不同的功能是为了针对不同的受害者。

  我们认为,这个通过Tor节点传播的OinionDuke变体,不是为了执行攻击活动,而是为了构成小型的botnet,以便日后使用。这个OnionDuke变体与2013年夏天通过种子文件传播的一个木马有关联。这两种感染途径,与Dukes经常使用的钓鱼邮件相比,都非常随意,也没有针对性。

  另外, 这个OnionDuke变体的功能是由很多模块提供的。有的是收集信息,有的会尝试窃取受害者的用户名和密码,这些功能都是针对性攻击木马经常具备的。另外还有两个已知的OnionDuke模块则完全相反,一个设计用于DoS攻击,另一个是为了向俄罗斯VKontakte社交网站发送预定的信息。这种功能在犯罪型botnet中更常见,而不是国家赞助的针对性攻击。

  至此,我们已经至少识别了两个独立的OnionDuke botnet。我们认为第一个botnet是在2014年1月开始形成的,使用了未知的感染途径和已知的恶意Tor节点,并且一直持续到11月份,直到我们发布了文章。对于第二个botnet,我们认为是在2014年8月开始形成的,并且一直持续到了2015年1月。我们还没能确定第二个botnet使用的感染途径,但是其使用的CC服务器已经公开了目录列表,允许我们获取文件中存在的受害人IP列表。这些IP的地理分布(图8)验证了我们的猜测,这些OnionDuke变体不是为了在针对性攻击中打击高价值目标。

  有一种看法是认为这些botnet是Dukes小组的犯罪业务部分。但是,如果是为了商业DoS攻击或垃圾邮件,这个botnet的规模(大约1400个bots)就太小了。不过,OnionDuke也会窃取受害人的用户凭据,作为另外的收入来源。但是,反对这种声音的原因是因为这种方式取得的价值在黑市上太低了。

发表评论