解析TG-3390网络间谍组织,这些你一定不知道

2020/2/13 16:22:58

 TG-3390团队,主要攻击国防和航天项目。他们技术高超,能够在六个小时内入侵多层系统,获取域名凭据和访问环境的权限。这个小组的攻击手段中包括水坑攻击,它经常入侵那些目标公司员工会访问的网站,以获得踏入目标网络的跳板。

CTU研究者划分了威胁情报有关TG-3390分为两个部分:战略与战术战略威胁的情报,包括通过威胁组提出的持续威胁的评估。管理人员可以使用这一评估来确定如何将风险降低到其组织的使命和重要资产。战术威胁情报是基于事件响应的调查和研究,并映射到杀伤链。计算机网络维护者可以使用该信息,以减少与响应的TG-3390相关联的时间和精力。

要点分析

\

战略威胁情报

威胁组织对不同的组织构成不同的威胁,甚至是一个非常能干的组织如果它没有意图针对一个特定的组织可能构成低威胁。

\

意图

TG-3390进行战略网页损害(的SWC),也被称为水坑攻击,网站上相关联的目标组织的垂直或人口来增加找到受害者提供相关信息的可能性。大多数通过TG-3390损害的网站隶属于五种类型的世界各地的组织:

一、大型制造企业,尤其是那些提供国防机构

二、能源公司

三、大使馆在华盛顿特区代表在中东,欧洲和亚洲国家,有可能针对美国的用户参与了国际关系

四、非政府组织(NGO),特别是那些专注于国际关系和国防

五、政府机构

TG-3390的目标是从各国政府和非政府组织收集国防技术水平和能力的情报,其他工业情报和政治情报

归属

\

能力1. 能源

TG- 3390访问有专业工具,其中一些只使用TG – 3390和其他的一些黑客组之间共享。TG- 3390可以迅速利用一个操作破坏网络基础设施在,可以进行同时侵入多个环境。进一步证实TG-3390运营商和目标环境之间相互作用,黑客组充分的资源,并已获得一个工具的开发团队和团队专注于的SWC。

2. 技术熟练

TG – 3390的模糊技术在swc复杂检测恶意网站流量重定向。所使用的恶意软件可以被配置为基于网络旁站的检测,很少修改基于目标主机的配置设置,在Microsoft Exchange服务器上安装凭证记录器和后门,这需要技术掌握Internet信息服务(IIS),采用较旧的漏洞妥协目标,没有发现利用零day漏洞,展示了一个驱逐后重新进入网络时的适应能力,克服网络维护者构成技术壁垒。

3. 间谍情报技术

除了使用的SWC针对特定类型的组织,TG-3390采用spearphishing电子邮件,以针对特定的受害者。他们会遵循一个既定的剧本在入侵的威胁。

他们很快从最初访问向量搬走隐藏自己的切入点,然后目标Exchange服务器作为一个新的接入载体。(相当于VPS、VPN、肉鸡等),但没有发现TG-3390如何跟踪其受损资产和证书相关的详细信息。然而,威胁者在之后会重用这些资产和凭据,有时几个星期或几个月的能力,表示该集团是纪律和良好的组织。 TG-3390由目标组织运行特定项目的数据,这表明他们成功地获得他们想要的信息。发生数据泄露后,几乎四周初步妥协并持续两周数据漏出。

\

战术威胁情报

\

已知工具及详解

\

PlugX:远程访问工具

它是一种的妥协存在系统上使得攻击者来执行各种命令,包括上传和下载文件,并生成一个反向连接。恶意软件可被配置为使用多个网络协议,以避免基于网络的检测。DLL被用来维持持久性感染的系统上。

HttpBrowse:用于HTTPS通信的后门

可执行代码可以通过结构化异常处理被混淆和返回导向编程。它是一种妥协的系统上存在使得攻击者来产生一个反向的外壳,上传或下载文件,并捕捉按键。

\

ChinaChopper webshell:基于Web的可执行脚本

它允许一个攻击者妥协系统上执行命令。服务器端组件提供了一个简单的图形用户界面为威胁演员与网络交互的壳

\

Hunter:中间件扫描

漏洞扫描工具,针对Apache Tomcat,Red Hat JBoss中间件、和Adobe ColdFusion。它还可以识别开放端口,收集网络横幅广告,和下载辅助文件。

\

OwaAuth web shell:在ASPXSpy网壳的修改

它被部署到运行的Internet信息服务(IIS)访问内部服务器。

\

 

程序 

1.勘测

CTU研究人员没有观察到TG-3390的行动者。相比于对组织妥协,这些人会优先做侦察。在舆论对目标施展行动时,这些人似乎愿意耐心等待,直到自己已经站稳脚跟

2.发展

TG-3390的SWC可能在很大程度上地理上独立,但集团的最常用的C2注册服务商和IP网络模块都位于美国,使用美国的C2基础设施妥协的目标,在美国帮助TG-3390攻击者避免地缘阻塞和网络防御用地理标记的措施。

3. 武器

CTU不确定是否TG-3390凭借weaponizers打包工具和漏洞

4. 交付

TG-3390进行的SWC或发送电子邮件spearphishing与ZIP文件的附件。Zip文件有相关的指标名称,并包含两个合法的文件和恶意软件。以及HttpBrowser安装程序伪装成一个图像文件。

\

5. 开发

TG-3390在SWC使用的Java漏洞。利用CVE-2011-3544,在Java运行时环境中的漏洞,提供HttpBrowser后门; 和CVE-2010-0738,在JBoss中的一个漏洞,用于重定向用户的网页浏览器漏洞利用代码访问的资产。针对目标服务器运行IIS的应用程序扫描工具。Hunter查询URI以特定的顺序来确定,如果相关的软件配置都是不安全的,并且所有查询包含在HttpClient的用户代理:

GET /manager/html/ — Tomcat web application managerGET /jmx-console/ — JBoss configurationGET /CFIDE/administrator/login.cfm — ColdFusion configuration 6. 安装

TG-3390采用DLL侧负荷,这涉及到运行一个合法的,通常是数字签名技术,程序加载一个恶意DLL。攻击行为放在网络上弹外部访问的服务器,有时候后面的反向代理,到入侵的系统上执行命令。TG-3390的行动者已经部署了OwaAuth网壳到Exchange服务器,将它伪装成一个ISAPI过滤器。在IIS W3wp.exe进程加载恶意DLL,已经观察到目录:Program Files\Microsoft\Exchange Server\ClientAccess\Owa\Bin

\

客观行为

失窃信息主要来自于特定的美国国防项目。其入侵动机可能是窃取军事生产机密,或者窃取美国军队规模数据,或者两方面都有。

\

【6小时完成入侵】

他们的最终目的是窃取数据,而不是潜入渗透。在CTU研究者们得到的一个案例中,TG-3390的黑客们在得到目标网络的访问权限后,会识别并且窃取目标组织中特定项目的信息

\

【5小时访问】

攻击者使用Hunte和nbtscan的工具,有时改名,来进行网络侦察存在漏洞的服务器和在线系统

\

【NBTSCAN批处理脚本(改名ipcan.exe)用于分析网络】

使用At.exe计划任务运行自解压RAR压缩文件攻击者收集思科VPN配置文件的访问通过VPN受害者的网络时使用

攻击者使用密码“admin-windows2014”和分裂成零件的回收目录中的RAR压缩文件数据加密,具有相同名称的未压缩数据

\

【于归档数据批处理脚本】

通过计划任务运行另一个批处理脚本重命名文件服务器上的档案

\

【批处理脚本用于重命名exfiltrated数据】

发出HTTP GET请求,有时会与用户代理MINIXL,以exfiltrate从受害者的网络归档部分

\

【得到IIS日志的请求】

网络数据传输的大小与tg – 3390开始为期一个月的时间重新进入网络。大约300 GB的数据是在跨接。

\

 


相关阅读:
西安买房 http://xa.xinfang.zhuge.com/
推荐新闻
·丰田牵手比亚迪 打造纯电动汽车
·同比增长1.45%,目前商城集团旗下的“义乌购”已经上线
·网络付费语音问答兴起 正和岛的“支招”有哪些不同?
·2002年以来与华东理工大学开展合作,缔造文学作品的价值实现
·一旦弹劾成立,移风易俗的难点
·棕榈油产量将因厄尔尼诺天气下滑
·8旬夫妻闹纠纷动武 儿子抢拐杖老人提菜刀威胁
·与多数大学生并不一样,人们不知道他们叫什么
·他的作品展现了线条之美,还捏鼻强灌米糊
·朝鲜发言人抨击美国对其核恐吓 称将引发核报复
排行榜
·解析TG-3390网络间谍组织,这些你一定不知道
·印度要十年内送人上太空 四年内发射十二颗卫星
·不法分子通过电话、QQ群,手机直接炸裂”
·《非诚勿扰2》三亚热拍 舒淇葛优情侣装显默契
·李敖私生女回应是怎么回事 李敖私生女是李敖和谁的女儿
·北影节“天坛奖”评委亮相 公认评片标准是从心出发
·2022年世界杯或扩军为48支球队 扩军后中国能进世界杯吗?
·上海哲珲金融实控人涉快鹿案被拘 妻子携款出走
·俄罗斯塔夫罗波尔首府发生枪战 5人受伤
·丰田牵手比亚迪 打造纯电动汽车
新闻图片
2015年春节过后,特别是3到4月是学区房的最后冲刺阶段
于小彤亲手做橙汁 网友调侃:快送给金星姐
关于我们   |   联系我们  |  本站导航   |   网站留言   |   本站招聘