欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

Triton攻击者使用定制的SecHack攻击工具来瞄准俄罗斯研究机构

 

强大的Triton恶意软件去年曾被不知名的威胁组织用于攻击沙特的石油化工厂,如今该组织又被发现发起了新的攻击。据悉,此次受影响的是位于俄罗斯莫斯科的一个未具名的技术研究所。

640.webp (26).jpg

1.攻击过程

网络安全公司FireEye的研究人员透露,威胁行为者使用了一个自定义攻击工具以及一个公开的漏洞利用工具包。其中的自定义工具被标识为Mimikatz和SecHack。


640.webp (27).jpg

MimiKatz(左)和SecHack(右)的默认输出


在目标网络获得立足之地之后,攻击者使用的大部分工具都主要用于网络侦察。一旦访问到控制器之后,攻击者开始集中精力在维持控制上。新发现的定制工具展示了攻击者对工业设施运营安全的兴趣。


640.webp (28).jpg

攻击周期


研究人员表示:“威胁行为者的自定义工具能体现其恶意功能,似乎是以规避病毒检测为重点进行开发的。该组织经常在逃避安全工具的检测,或处于入侵关键阶段时使用自定义工具。例如,他们会在获得工程工作站(EWS)访问权限之前就转向IT和OT DMZ中的自定义后门。”


640.webp (29).jpg

威胁行为者的自定义工具


获得立足点之后的下一步是什么?在网络上建立初步立足点之后,Triton威胁组织专注于获得对OT网络的访问权限为此,他们使用复杂的攻击工具进行网络侦察、横向移动以及在设备中长久保留。


除此之外,威胁行为者使用了几种混淆方法来逃避检测,包括:


  • 重命名文件使其看起来像合法文件,如KB77846376.exe,以Microsoft更新文件命名;

  • 使用模仿合法管理员活动的标准工具,包括大量使用RDP和PsExec / WinRM;

  • 在Outlook Exchange服务器上植入webshells,修改现有的合法flogon.js和logoff.aspx文件;

  • 依靠加密的基于SSH的隧道来传输工具和远程命令执行;

  • 定期删除其部署的攻击文件、执行日志和其他文件;

  • 利用合法用户或处理器较少使用的多个暂存文件夹和目录。


根据对其使用的定制工具的分析,研究人员认为该组织早在2014年就开始运作。

2.Triton威胁组织或来自俄罗斯

上面提到Triton恶意软件去年曾被用于攻击沙特的石油化工厂,当时据FireEye、Dragos 和赛门铁克的研究调查报告,此次网络攻击与一家俄罗斯研究机构有关。


攻击者使用的恶意程序设计关闭生产流程或让 SIS 控制的机器工作在不安全的状态下。安全公司将这个恶意软件命名为Triton或Trisis。


对沙特公司的攻击发生在去年八月,此前被认为可能是伊朗所为。攻击者还利用相同的恶意软件框架入侵了施耐德公司保护设备安全运转的工业控制器 Triconex,该型号的控制器被全世界 1.8 万家工厂使用,其中包括核处理设施。这次攻击几乎导致工厂发生爆炸。FireEye 认为俄罗斯政府研究机构化学和力学中央科学研究院(CNIIHM)参与了此次攻击。攻击者部署的恶意程序包含的信息指向了这家研究机构。


640.webp (30).jpg


FireEye报告中表示,已经发现了Triton攻击与CNIIHM之间的强大联系:


  • 测试文件中包含PDB的路径和特殊字符串将调查人员指向莫斯科一个参与是CNIIHM教授的个人的昵称;

  • 专家还发现,俄罗斯研究CNIIHM注册的一个IP地址与Triton有关;

  • 样本中语言西里尔文和时区与俄罗斯相关。


另外,值得一提的是CNIIHM的知识和人员具备开发Triton恶意软件的能力,它拥有专门研究关键基础设施保护和武器及军事装备开发的研究部门,并与广泛的其他组织合作,包括计算机科学,电气工程,国防系统和信息技术。

9999.jpg


暂无

您可能还会对下面的文章感兴趣: