翻译:360代码卫士
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
注:本文以对话形式还原报道内容以期减少读者用眼负担,顺带希望增加一点趣味性。
背景介绍:Sofacy和Turla(均为APT组织)都在莫斯科郊外跑步。两人不期而遇。
Turla:Sofacy!好久不见啊,最近还有空出来跑步啊?来来来,抽根烟聊聊。最近你的新闻不少啊。
Sofacy边点烟边说道:别提了,最近忙坏了。不过身体是革命的本钱啊,要好好锻炼身体,我的愿望是再跟友军斗争50年。
Turla:哈哈,有志气。第二季度有啥新动作?
Sofacy:研究了下绕过检测的新方法、编造了新的payload释放、找0day漏洞和后门感染用户、继续待在机器上。
Turla:看来你很上进。对了,我听说四月份你用了两种新的宏技术。一种技术利用的是Windows的certutil工具提取payload。另外一种技术把payload内嵌到恶意Office文档的EXIF元数据里了。
Sofacy:说起来这技术让卡巴斯基实验室研究员大开眼界啊,哈哈,他们第一次见我用这技术。
Turla:他们说其实你早在2016年12月份就开始用这俩技术了。在法国大选前夕你用这两种技术攻击法国政党成员。6月份那帮人看到你更新了一个用Delphi编写的payload,Zebrocy。Zebrocy的5.1版本还实现了新的加密密钥以及一些字符串混淆,更容易地绕过检测功能。这些都是真的吗?还有那帮人在2016年中就觉得你跟Zebrocy扯不清了。说你们在基础设施方面存在某些联系。他们还发现了也是用Delphi编写的另外一个payload,Delphocy。2015年末,他们从你那看到Delphi,之前他们都没见过。他们推测你雇佣了一个啥都不用只用Delphi编写程序的程序员。就在这段时间他们还发现了另外一个感染也跟Delphi共享某些代码,就把你扯进来了。这些都是真的吗?
Sofacy:真亦假时假亦真,假亦真时真亦假。
Turla:高深!
Sofacy:你这消息还挺灵通啊。我就混口饭吃,没想到给别人带来的麻烦挺多啊。就说你吧,人家卡巴斯基实验室研究员说了,咱俩之间也有说不清道不明的关系。
Turla:哈哈。可不是嘛,他们说咱都跟俄罗斯有关联,就像今天跑个步还能碰到。(情不自禁地唱起来)深夜花园里四处静悄悄/只有风儿在轻轻唱/夜色多么好心儿多爽朗/在这迷人的晚上/长夜快过去天色蒙蒙亮/衷心祝福你好姑娘/但愿从今后你我永不忘/莫斯科郊外的晚上……
Sofacy:(跟唱)在这莫斯科郊外的晚上。哈哈。话说回来,他们说在我活动期间,你搞了一个EPS 0day (CVE-2017-0261) 攻击外国外交部等部门和政府啊。你这段位高。他们还说咱俩共享供应链呢。
Turla:哈哈,见笑见笑。还供应链呢,咋不弄个区块链赶赶时髦呢?
Sofacy:老兄真逗。
Turla:老兄你是白道黑道都有一条道啊。不聊咱了。由它去吧。八卦下别人。
Sofacy:我最爱听八卦了。那帮研究员又有啥新发现?
Turla:他们还讨论了一个讲中东地区语言的组织BlackOasis。他们说BlackOasis是专门从事监控和监视设备如FinFisher的英国公司Gamma集团的客户。据说这个叫Brian Bartholomew的研究员研究了一年半了。他们说BlackOasis过去用了不少0day漏洞,比如CVE-2016-4117、CVE-2016-0984和CVE-2015-5119。他们还说BlackOasis是第一个用OLE2Link 0day漏洞CVE-2017-0199的,他的末端payload是FinSpy的新变体,专门阻止研究人员分析的。
Sofacy:看来研究人员们还真有两把刷子啊。他们说没说EQUATIONVECTOR后门?
Turla:就“别人肚子里的蛔虫”这一点,我特服你。啥都让你说中了。他们聊了这个属于NOBUS(只针对美国的后门)的后门,它能执行shellcode payload。他们还聊了Lamberts APT组织的扩展Gray Lambert。它更先进,能等待、睡眠并嗅探网络,一直到使用的时候还是如此。他们说功能可强大了,能对多台受感染机器进行精准打击。把它安装到设备上,咱就能判断出怎么给payload、命令和攻击分配空间。
Sofacy:不错啊,这个有意思。还有没有别的了?没预测个趋势啥的?他们这帮人最爱找规律了。你说咱要是按套路出牌不早就死翘翘了?
Turla:可不是嘛,谁知道他们呢,预测倒是说了两嘴。他们说了,之后咱们还会用这些战术、技术和程序 (TTP)。比如咱可能会扰乱各国大选啊什么的,还拿你举例子说散布虚假消息。以后使用有争议的合法监控工具的人就越来越多了。
Sofacy:他们没说说勒索软件的事儿?
Turla:说了,说可能还会发生勒索事件,不过他们也摸不透咱会不会一定使用。
Sofacy:这话靠谱。
Turla:他们说破坏攻击和wiper攻击发生的频率比较低。要出现的话也应该不是脚本小子们能承受的,说咱们APT组织可能会用来制造大新闻。不过他们说咱要是用的话,也跟攻击索尼影视的那帮人手法差不多。他们说咱不地道,刚开始跟人勒索钱,结果交不交钱都会泄露数据。估计他们很无语啊。
Sofacy:哈哈,谁让APT组织水很深不知深几许呢?他明我暗,打几个回合下来他们也不见得能辨认出谁是谁来。由他们去吧。
Turla:好嘞。不过话说回来还是要当心啊,这世道乱的,得做好打长期战的准备。
于是,Sofacy和Turla互道珍重,就此别过。
发表评论
您还未登录,请先登录。
登录