全球顶级黑客组织巡礼——Machete攻击委军方
提到网络安全和黑客组织,人们往往联想到的国家是美国、俄罗斯、中国、伊朗、以色列以及一些欧洲国家,拉丁美洲国家在面对持续网络威胁和具有政治动机的黑客组织方面往往被人忽视。
事件概览
最近出现了一系列针对拉丁美洲国家的网络间谍活动案例已经引发了人们的重视。这些攻击事件背后的黑客组织窃取了大量机密文件,其中大部分来自委内瑞拉政府组织。截至目前,这些活动仍然非常活跃,威胁行为者定期对其恶意软件、基础设施和鱼叉式网络钓鱼活动进行完善。
网络安全公司ESET近期一直在追踪新版本的Machete后门工具,新版本于2018年4月首次出现。虽然该后门的主要功能与以前的版本相同,但它在最近一年的拓展中还是显示了一定的新功能。
攻击目标
大多数Machete的受害者都位于委内瑞拉、厄瓜多尔、哥伦比亚、秘鲁、俄罗斯、古巴、西班牙等等。在某些情况下,诸如俄罗斯,目标似乎是针对俄罗斯境内的某些大使馆。目标包括高层人物,其中包括情报部门,军队,驻外使馆和政府机构。
从今年3月底到5月底,ESET研究人员观察到有超过50台受感染计算机正在与威胁行为者的C&C服务器进行通信,每周都会向其上传大量数据。超过75%的受感染计算机位于委内瑞拉政府组织,包括军队、教育部门、警方和外交部门。此外,也有其他拉丁美洲国家涉及其中,;例如厄瓜多尔军队是另一个遭遇Machete恶意软件攻击的政府组织。具体的受害国家/地区如下图所示:
2019年受影响的拉丁美洲国家
攻击过程
Machete攻击者通常使用的是高效的鱼叉式网络钓鱼技术。他们针对拉丁美洲国家发动长期持续的攻击,多年来收集情报并一步步改进战术。攻击者非常明确自己的目标,如何采用社会工程学进行沟通,以及能窃取的哪些文件最有价值。Machete不仅可以处理常见的办公套件文档,还可以提取地理信息系统(GIS)软件处理的专用文件类型。据悉,该黑客组织对使用军事网格描述导航路线和定位的文件最感兴趣。
Machete攻击者直接向受害者发送非常具体的电子邮件,这些电子邮件包含运行恶意软件的压缩自解压存档的链接或附件,并打开诱饵文档。下图显示了攻击者向潜在受害者发送的典型PDF文件。为了欺骗毫无防备的受害者,攻击者使用的是他们从别处窃取来的真实文件:
诱饵PDF文件(模糊)
Machete具体的组件
该恶意软件能够从受感染计算机上窃取数据,包括:
截图;
记录击键;
访问剪贴板;
使用AES算法加密文件,并将加密后的文件上传到C&C服务器;
检测新插入的驱动器并复制文件;
执行从C&C服务器下载的其他二进制文件;
从系统中检索特定文件;
从多个浏览器中检索用户配置文件数据;
收集受害者的地理位置和附近Wi-Fi网络的信息;
对可移动驱动器执行物理渗透。
分析表明,除Microsoft Office文档外,攻击者还对如下文件感兴趣:
备份文件;
数据库文件;
加密密钥(PGP);
OpenOffice文档;
矢量图像;
地理信息系统文件(地形图、导航路线等)。
结论
Machete攻击者非常活跃,自2018年4月发布新版本以来,已对其恶意软件进行了多项更改,之前的版本由卡巴斯基于2014年和Cylance于2017年披露。
通过对Machete源代码以及网络基础设施的分析,ESET公司认为这个APT组织来自某个讲西班牙语的国家,“Machete”在西班牙语中指“有针对性的攻击活动”,但目前尚不能完全肯定。