Seedworm间谍组织将恶意软件存储在GitHub上,并根据环境变化不停改造
最近冒出的新兴间谍组织Speedworm通过GitHub来保存他们的恶意软件,并且通过社交网络服务仔细观察信息安全动态,以保证它能适应复杂的安全环境。
这种方法帮助该团伙不断的发展和创新他们的工具。最近与此组织有联系的工具是Powemuddy,它的作用是在攻击的初始阶段,在目标机器上建立持久性的后门,也可以用来下载其他恶意程序。
该团伙使用的另一个工具是Powermud后门,它通过一个隐藏的代理网络进行后门控制,这使得安全人员很难找到命令和控制(C2)服务器的位置。
该组织跟踪研究和开发人员的最新信息安全动态
赛门铁克公司的DeepSight威胁情报管理(MATI)团队的分析人员发现,Seedworm的组织成员将他们感兴趣的恶意软件和工具存储在GitHub上的公共页面中。
在周一的一份报告中,分析人员表示,“那些脚本内容和Seedworm的操作非常相似”。
除了该组织自己的恶意软件,这些黑客还使用GitHub收集公共可用的工具,他们有时会在执行网络间谍任务之前对这些公共软件进行定制改造。
而之所以将这些GitHub帐户归属于Seedworm,是因为经过对托管在这些帐户里工具的分析发现,其中一些工具已被用于该组织所进行的攻击中。
例如,分析人员在repo中发现了一个PowerShell脚本,该脚本与某台被入侵的机器上运行的脚本相匹配,而该机器上正是被Seedworm所入侵的。
另一个原因是Crackmapexec后渗透工具的许多命令,被发现于受害者主机活动记录中。该工具用于评估大型活动目录的网络安全性并获得Windows登录凭据。
赛门铁克的报告称:“Seedworm使用这些工具的现成的、未经修改的版本,以及我们确定只由这个组织所使用的定制版本。”
MATI的研究人员能够将GitHub帐户与更多的网络活动联系起来。他们还将一个与GitHub帐户和一个Twitter帐户联系到一起。
无论谁躲藏在这个Twitter帐户下,他都利用社交网络来探查网络安全领域的最新发展。
研究人员说:“这个Twitter帐户关注了很多安全研究人员,包括那些写过关于这个团体的文章的研究人员以及他们使用的开源工具的开发人员。”
Seedworm攻击Fancy Bear黑客团体的机器
这个组织的名字为MuddyWater,在2017年首次被发现。它特别活跃,在2018年9月下旬至11月中旬期间,攻击了30个公司团体中的131个受害者。
赛门铁克的MATI分析了9月份在巴西的一个产油国大使馆的电脑,发现了与Seedworm有关的痕迹的证据。
原来,该电脑机器已经被另一个网络间谍组织臭名昭著的Fancy Bear所控制,所以电脑系统上并不只有Seedworm。
这非常有趣,研究者们开始四处寻找更多关于Seedworm的活动线索。
大部分受害者在巴基斯坦和土耳其,但Seedworm的攻击范围也延伸到俄罗斯、沙特阿拉伯、阿富汗、约旦和其他地方。它还攻击了中东与欧洲和北美有关的组织。
根据研究人员的说法,攻击的最大的目标是电信行业,其次是政府机构的IT服务。与石油和天然气生产有关的实体产业排名第三,赛门铁克公司暂时发现了11名受害者,他们都属于一家活跃在中东的俄罗斯公司。
原文链接:https://www.bleepingcomputer.com/news/security/seedworm-spy-gang-stores-malware-on-github-keeps-up-with-infosec-advances/
最新评论