圖1-Black Vine的受害者分布
在2014年初,Anthem遭到黑客襲擊,泄露了8000萬份醫療記錄。媒體在2015年2月曝光了這次入侵事件,而發動攻擊的網絡間諜小組很可能就是Black Vine。
Anthem并不是Black Vine的唯一目標。Black Vine從2012年開始活動,其攻擊目標主要集中在幾個領域中,包括航空航天業,能源產業和醫療行業。這個小組使用的武器有通過Elderwood框架傳播的0-day漏洞,并且還利用過Hidden Lynx等小組同時使用過的一些漏洞。
Black Vine通常會利用水坑攻擊技術來入侵一些目標感興趣的網站,然后使用0-day漏洞來入侵目標的計算機。如果漏洞利用成功,攻擊者就會投放他們自己開發的木馬:Hurix、Sakurel(檢測為Trojan.Sakurel)和Mivast(檢測為Backdoor.Mivast)。這些威脅能夠開啟受害者計算機上的后門,從而允許攻擊者竊取有價值的信息。
根據我們的分析以及開源數據的支持,我們認為Black Vine的成員可能與北京某IT公司有關聯。
2014年1月26日,醫療公司Anthem的一名系統管理員發現,他們的賬戶遭到了黑客入侵,訪問了內部數據庫中的敏感數據。雖然很多請求都是從這個賬戶發起的,但是系統管理員發現是其他人在執行這些請求。很快,Anthem就意識到,他們遭到了網絡攻擊。這次攻擊事件是今天最嚴重的醫療數據失竊事件,丟失了8000萬份記錄。Symantec認為實施這次攻擊活動是Black Vine小組。
2015年2月,媒體曝光了這次事件,這是公眾了解到的第二起針對美國醫療企業的攻擊活動。Black Vine發動的這次攻擊活動是2015年受關注程度最高的事件之一。但是,這只是Black Vine的一次攻擊活動,他們也在攻擊其他的幾個行業。
從2012年起,Black Vine開始針對性地攻擊幾個行業,包括能源產業,航空航天業和醫療行業。他們使用了自己開發的木馬、0-day漏洞和其他的一些TTP,這是一個有組織有能力的攻擊小組。
此次研究記錄了,從2012年至今,Black Vine進行的所有活動。通過觀察他們的活動時間線,不僅僅能了解他們的歷史行動,還能夠觀察到他們的發展歷程。我們希望這份報告能夠幫助組織更好地理解Black Vine,包括他們的TTP,動機和使用的木馬,以便更有效地防御這一威脅。
通過研究Black Vine的活動,Symantec發現了下面的信息:
這些發現讓我們相信,Black Vine與其他的網絡間諜小組有合作。Black Vine資金充足,組織性強,包括多名小組成員,其中的一些成員與北京某IT公司有關聯。
在調查Black Vine期間,Symantec確定了大量遭到攻擊的企業。由于Black Vine的攻擊途徑,僅僅依靠攻擊數據可能會誤導你。Black Vine經常會利用水坑攻擊入侵合法網站,從而強制網站感染其訪客。因此,如果只是分析遭到入侵的計算機是無法準確地反映Black Vine的攻擊目的。相反,這樣能反映出哪些行業的感染率是最高的。
根據Symante遙測數據的分析,Black Vine攻擊過下面的這些產業:
為了進一步判斷Black Vine的目標產業,Symantec評估了持有受影響網站的企業。Symantec還調查了Black Vine發動的一些水坑攻擊活動。在調查了大量的攻擊目標后,Symantec認為Black Vine的主要目標產業是航空航天業和醫療業。很可能,遭到感染的其他行業是次級目標。
圖1-Black Vine的受害者分布
根據受害者計算機的IP地址位置,我們確定Black Vine的攻擊目標主要分布在幾個地區。主要的感染地區是美國,其次是中國、加拿大、意大利、丹麥和印度。
攻擊者的資源
Black Vine似乎掌握有大量的資源,能允許他們在同一時間發動多次攻擊。這些資源包括自定義木馬的開發、0-day漏洞和攻擊者持有的基礎設施。這樣的資金和資源只能由公共實體或私有組織提供。
我們分析發現,Black Vine主要在活動中使用了3種木馬變種,分別是Hurix、Sakurel(檢測為Trojan.Sakurel)和Mivast(檢測為Backdoor.Mivast)。我們認為這些木馬的作者都是相同的,并且使用了相同的代碼和資源。例如,Hurix和Sakurel具有下面的這些相似點:
所有這三個變種都具備下面的功能:
我們在CC通訊請求中,發現了下面的URL特征:
例如:
在大多數情況下,木馬會偽裝成科技相關的應用。用于偽裝木馬的主題包括Media Center,VPN和 Citrix 應用。CC服務器或域名也會像木馬一樣進行偽裝。例如,有一個Sakurel樣本就命名為了MediaCenter.exe (MD5:1240fbbabd76110a8fC&C9803e0c3ccfb) 。與木馬通訊的CC域名就使用了一個Citrix主題:citrix.vipreclod.com 。
另外,大多數木馬樣本的數字簽名都是由韓國軟件公司DTOPTOOLZ Co或軟件開發商MICRO DIGITAL INC簽署的。Symantec已經觀察到,DTOPTOOLZ Co證書還用于簽名了一個廣告軟件,而這起惡意廣告活動并沒有Black Vine的參與。圖2和圖3中是詳細的證書信息。
圖2-DTOPTOOLZ Co數字證書
圖3-MICRO DIGITAL INC數字簽名
Symantec發現Black Vine的活動最早可以追溯到2012年。從那時開始,Symantec就觀察到Black Vine多次發動了針對性攻擊活動。在我們調查過的所有活動中,我們發現Black Vine的主要目的是入侵目標的基礎設施并竊取信息。
2012年12月,安全研究員Eric Romang發表了一篇博客稱,燃氣渦輪制造商Capstone Turbine遭到了水坑攻擊。Symantec通過調查,也證實了Romang的發現,Capstone Turbine的合法域名capstoneturbine.com上放置了一個0-day exploit,實際是Microsoft Internet Explorer ‘CDwnBindInfo’ Use-After-Free 遠程代碼執行漏洞 (CVE-2012-4792)。當時,只要用戶使用漏洞版本的IE瀏覽器訪問Capstone的網站,就會被Sakurel的有效載荷入侵。Sakurel能夠允許Black Vine訪問受害者的計算機和信息。如前面提到的,這個Sakurel樣本使用了MICRO DIGITAL INC頒發的數字簽名。
相關的Sakurel樣本信息如下:
另外,攻擊中利用的CC域名web.viprclod.com偽裝了合法域名VipeCloud.com。這個合法的網站屬于VipeCloud,這個網站提供的是銷售和營銷服務。這一點可能是巧合,也可能是在其他未知的攻擊活動中重復使用了相同的基礎設施。但是,這個域名是在2012年12月10日注冊的,正好在用于攻擊能源業的Sakurel樣本編譯完的兩天后。無論如何,這個CC服務器的主題不同于在能源業攻擊活動中使用的主題。
攻擊者用下面的信息在2012年12月10日注冊了CC域名viprclod.com:
Capstone Turbine是美國的一家燃氣渦輪機制造商,這家企業專攻微型渦輪機、以及加熱冷卻共生系統。可能是他們在能源和動力技術上的研究和開發專利導致他們成為了攻擊目標。
在2012年12月24日,Black Vine再次攻擊了能源和技術制造廠。但是具體的攻擊情況無法公布,在這次攻擊活動中還使用了Sakurel。結合Black Vine發動的多起0-day攻擊,以及以渦輪制造商為攻擊目標,很可能Black Vine當時的主要目標是能源相關的科學技術。
在2013年中期,一篇第三方博客記錄了攻擊活動中如何利用Citrix誘餌投放Hurix木馬來攻擊航空公司。這篇博客中寫到,攻擊中使用的木馬是通過釣魚郵件發送給航空公司的特定員工。在這些郵件中會包括一個URL,用于重定向用戶下載Hurix。不過,Symantec無法訪問必要的數據來驗證博客中說的對不對。我們只是為了記錄目的,概括性的總結這次攻擊活動。
在2014年2月,Black Vine入侵了歐洲航空公司的網站。攻擊者控制了這家公司的域名,并利用其網站主頁來入侵網站的訪客。之所以利用水坑攻擊可能是為了更大范圍的感染航空產業里的目標。與2012年針對能源產業的攻擊活動類似,攻擊者利用了一個新的0-day bug,Microsoft Internet Explorer Use-After-Free 遠程代碼執行漏洞 (CVE-2014-0322)。這次攻擊活動的有效載荷是一個更新版的Sakurel。具體的Sakurel樣本信息如下:
一旦感染了受害者,Sakurel就會通過下面的請求聯系CC域名oa.ameteksen.com:
GET /script.asp?resid=93324828&nmsg=del&photoid=iztkctcebtgbbyf-2135928347 HTTP/1.1
C&C 域名的注冊信息如下:
Black Vine創建域名ameteksen.com是為了偽裝成合法網站ameteksensors.com 或ametek.com,這兩個合法域名屬于航天和國防承包商Ametek。
在我們調查Black Vine針對航空業的攻擊活動時,Symantec發現這個小組使用了一些非常規戰術。在受害者的計算機上運行了Sakurel之后,木馬會更改受害者的主機文件。通常,Windows操作系統會使用host文件來映射域名和IP地址,而不是通過DNS查詢。Black Vine修改了host文件,在其中添加了靜態項目,從而讓合法域名解析到他們的合法IP上。
這一點很不常見,因為默認的DNS請求就是這樣映射的。一般來說,當攻擊者想要把合法域名映射到惡意基礎設施時會這樣做,但是,修改主機文件會讓目標意識到自己遭到了入侵。
Black Vine在攻擊航空公司時使用的Sakurel樣本會修改主機文件,重定向圖1中的合法URL和IP地址。
表1-添加到主機文件中的域名和IP
在調查這次攻擊事件時,我們發現了大量與航空領域相關的域名,這些域名都與Black Vine有關聯。在2014年1月末和2月中期,攻擊者使用了域名www.savmpet.com 和 gifas. asso.net。另外,Symantec和多家第三方來源此前就報道過有針對性攻擊利用這些域名來攻擊航空產業的目標。
惡意域名gifas.assso.net很可能偽裝的是歐洲航空航天工業協會的合法域名gifas.asso.fr。在調查期間,gifas.asso.net域名被用于傳播木馬,引用頁是www.savmpet .com。
至于Black Vine發動了多少起針對航空行業的攻擊活動,我們并不清楚。但是,Symantec認為有多起針對性活動是在2014年初到中期之間發動的。從攻擊者使用的0-day漏洞和自定義木馬來看,Black Vine一定是資金充足的組織性小組。
在2015年2月,媒體曝光了一起針對醫療行業的網絡間諜活動。這次入侵活動攻擊了醫療公司Anthem,導致泄漏了8000萬份醫療記錄。最初的報告中稱,Anthem是在2015年1月26日發現了這次入侵時間,當時系統管理員發現有人利用他的憑證請求了數據庫,而他并不知情。很快,Anthem就反應過來自己遭到了攻擊,而這次攻擊活動可能是從2014年5月開始的。根據我們調查分析的樣本,Symantec識別出在這次攻擊活動中使用的木馬變種是Mivast。其他的第三方廠商也說攻擊Anthem的是Mivast木馬。
類似于Black Vine的其他攻擊活動,Mivast也是使用了DTOPTOOLZ Co的數字簽名。并且,在這次入侵活動中,攻擊者使用了多個域名來偽裝成醫療和科技相關的組織。表2中列出了Black Vine已知的基礎設施。
表2-偽裝成醫療和科技公司的域名
Black Vine通常不會用相同的郵箱地址來注冊域名。注冊人地址li2384826402@yahoo.com似乎屬于一個域名經銷商,與Black Vine并無直接聯系。
表3-在Anthem攻擊中發現的Mivast樣本
表3中列出了Anthem事件中使用的幾個Mivast樣本。
我們不清楚攻擊者使用了什么機制來投放木馬。很可能是通過釣魚郵件,因為在這次攻擊活動中,我們并沒有發現水坑攻擊的跡象。木馬本身使用Citrix和Juniper VPN誘餌進行了偽裝,也就是說,攻擊活動一開始的攻擊目標是Anthem的技術員工。
我們分析了Black Vine使用的基礎設施、資源和攻擊模式,從而確定他們的動機。我們還研究了一些開源數據,這些數據表明Black Vine的成員與北京一家公司有關聯。
與北京某IT公司的關系
Threat Connect在發表的一份博客中提到,根據基礎設施的注冊信息,能夠追蹤到Anthem入侵事件的源頭來自中國。在入侵Anthem時使用的Mivast木馬樣本(MD5:230D8 A7A60A07DF28A291B13DDF3351F),關聯到了一個IP地址是192.199.254.126的基礎設施。在Mivast 樣本的CC托管在這個IP地址上的時間前后,這個IP上只有為數不多的幾個域名,其中就包括域名topsec2014.com。
topsec2014.?com 的注冊地址是topsec2014@163.com,這個郵箱地址與[email protected]很類似。topsec2014 domain域名和先前提到的郵箱地址都與北京某IT公司有關聯。
圖4-關于北京某IT公司的詳細介紹
北京某IT公司這個組織主要專注于安全研究、培訓、審計和產品開發。其客戶包括私有公司和公共部門。這家公司每年還會舉辦計算機攻擊競賽,并且據報道雇傭了黑客來提供服務和培訓。
0-day開發和傳播
Black Vine在多次活動中都利用了未知的0-day漏洞來投放他們自己開發的有效載荷。通常識別0-day漏洞并判斷其利用方法,需要較高的黑客技術。一般來說,這些漏洞可以通過地下網絡購買,或由漏洞開發者自己開發。這兩種方式都需要大量的資金。
對于Black Vine而言,Symantec發現他們的活動與其他的網絡間諜活動之間有相似的模式。這些攻擊活動也會使用相同的0-day漏洞,但是投放不同的有效載荷。很明顯,他們能接觸到相同的0-day漏洞,然后在不同的小組之間傳播和利用,如圖5。
圖5-0-day的傳播和使用時間
CVE-2012-4792 0-day漏洞
2012年12月末,美國外交關系協會(CFR)的網站遭到了入侵。據稱,CFR的域名被用來利用了 IE6瀏覽器中的一個未知漏洞,最終確認這個未知漏洞是CVE-2012-4792。在當時,并沒有修復這個漏洞的補丁,導致使用有漏洞版本IE瀏覽器的用戶沒有辦法來處理這一問題。一旦漏洞利用成功,攻擊者就會投放Backdoor.Bifrose變種。根據Symantec先前的發現,Bifrose與另外一起間諜活動有關聯。Symantec認為Black Vine與這次攻擊活動和CFR入侵事件沒有關聯。
如我們所說的,2012年12月,Black Vine攻擊了Capstone Turbine。根據之前發現的實例以及在CFR和Capstone網站上發現的惡意代碼,我們認為這幾次攻擊活動都是在同一周前后進行的。
在這兩起網站入侵事件中,這些域名都是利用了相同的IE瀏覽器0-day漏洞(CVE-2012-4792)。不同之處在于,在攻擊Capstone時,投放的是Sakurel有效載荷;而在攻擊CFR時,投放的是Bifrose。
CVE-2014-0322 0-day漏洞
在2014年2月,另外兩個小組也利用了同一個0-day來投放不同的有效載荷。在2014年2月11日-15日之間,美國退伍軍人網(VFW.org)和歐洲一家飛機制造商的網站都遭到了水坑攻擊。與2012年的攻擊活動類似,這些網站都被強制利用了IE瀏覽器中的一個0-day漏洞(CVE-2014-0322)來投放惡意有效載荷。
在攻擊VFW.org時,投放的是一個Backdoor.Moudoor變種。Symantec在以前的報告中就說過,這個小組曾經利用Moudoor發動了針對性攻擊。針對飛機制造商的攻擊活動和VFW攻擊活動是同時進行的,并且利用了同一個0-day漏洞。在針對航天業的水坑攻擊中,Black Vine使用的有效載荷是Sakurel木馬。
Elderwood聯系
在2012年和2014年,有不同的攻擊小組同時利用相同的0-day漏洞發動了攻擊活動,但是投放了不同的木馬。在這些活動中使用的木馬應該是各個小組自己開發的。Symantec此前就確定了這些攻擊小組會利用Elderwood框架來交換木馬。
在此前的攻擊活動中,利用的0-day漏洞應該是來自中國黑客。
歸屬
Black Vine似乎掌握有充足的資源來開發和更新他們自己的木馬,并且他們還掌握有0-day漏洞來發動針對性攻擊。這些資源和能力表明Black Vine有強大的資金和資源支持。Black Vine從2012年末開始一直在攻擊幾個產業,應該是有組織的網絡間諜小組。
Black Vine的有些基礎設施似乎與北京某IT公司有關聯。
通過Elderwood框架也能證明Black Vine在與其他攻擊小組合作。并且Black Vine還通過Elderwood給其他攻擊者分享0-day漏洞。
至少從2012年起,Black Vine久開始了攻擊活動。經過Symantec的分析,Black Vine針對能源、航空航天業、醫療業和其他行業發動了多起攻擊活動。Black Vine利用了多個木馬變種,包括Hurix,Sakurel和 Mivast。所有這些木馬都是由同一名作者開發和更新的。每個變種都會通過更新來增加功能,并更改哈希來躲避檢測。
在大量的攻擊活動中,Black Vine首先會通過水坑攻擊,利用0-day漏洞,在受害者的計算機上投放木馬。攻擊者還會通過Elderwood分享在這些攻擊活動中使用的0-day漏洞。另外,Black Vine的所有活動目的都是網絡間諜行動。
媒體曝光了Anthem入侵事件,這次攻擊是美國醫療歷史上最嚴重的數據失竊事件。 Black Vine發動的這次攻擊活動是2015年受關注程度最高的事件之一。但是,這只是Black Vine的一次攻擊活動,他們也在攻擊其他的幾個行業,包括能源產業和航空航天業。我們希望這份報告能夠幫助組織更好地理解Black Vine,包括他們的TTP,動機和使用的木馬。
我們希望這份報告能夠幫助組織更好地理解Black Vine,包括他們的TTP,動機和使用的木馬。只有了解了Black Vine的活動,分析人員和決策者才能更有效地與之對抗。
Symantec能夠防御Black Vine的木馬:
AV
IPS
System Infected: Trojan.Sakurel Activity