被称为ModifiedElephant的攻击者已经这样做了至少10年并且仍然活跃。根据SentinelLabs研究人员的说法,自2012年甚至更早以来,它一直在跟踪数百个团体和个人,其中一些是重复的。操作员不是我们所说的技术天才,但这并不重要。SentinelOne威胁研究员TomHegel在周三的一篇文章中表示,高级持续威胁(APT)组织——可能与商业监控行业有关——一直在使用基本的恶意软件,例如商用远程访问木马(RAT)黑客工具混日子。APT使用鱼叉式网络钓鱼来诱捕受害者,通过虚假文件传播恶意软件。该组织的首选恶意软件包括NetWire、DarkComet和简单的键盘记录器,“它们重叠的基础设施使我们能够连接以前长期未归因的恶意活动,”黑格尔写道。以DarkCometRAT为例,它被用于政治攻击的时间至少与ModifiedElephant参与犯罪活动的时间一样长。2012年,其作者在发现叙利亚政府使用DarkComet打击反政府活动分子后放弃了开发和销售。过时的工具JuanAndrésGuerrero-Saade是SentinelOne的威胁研究员和约翰霍普金斯大学高级国际关系学院的兼职教授,他通过Twitter说:“可以公平地说,这种操作的机制是多么的通用。”“恶意软件要么是自定义垃圾,要么是商品垃圾。从技术上讲,这个威胁行为者没有什么令人印象深刻的东西,相反,我们对他们的大胆感到惊讶。”事实上,ModifiedElephant使用旧的VisualBasic键盘记录器,“在技术上一点也不令人印象深刻,”黑格尔写道,并指出整个键盘记录器结构类似于2012年意大利黑客论坛上免费提供的代码。记录器甚至无法工作,因为它们是“以如此脆弱的方式建造”。除了NetWire木马,ModifiedElephant还发送了一个Android木马有效负载,以APK文件(0330921c85d582deb2b77a4dc53c78b3)的形式提供。Android木马试图通过伪装成新闻应用程序或安全消息传递工具来诱骗收件人自行安装恶意软件。下面是一个ModifiedElephant网络钓鱼电子邮件的示例,其中包含NetWire和Android特洛伊木马变体的附件。研究人员表示,Android木马似乎被设计为一种多用途黑客工具,可用于更广泛的网络犯罪。但事实上,它与NetWire同时发布,这意味着同样的攻击者正试图以各种受害者为目标,从终端和移动设备获取他们。根据SentinelLabs的说法,该木马使攻击者能够拦截和管理短信和通话数据、擦除或解锁设备、执行网络请求以及执行远程管理:换句话说,它是一个基本的、理想的、低成本的移动监控工具包。证据篡改ModifiedElephant植入罪证文件的一个例子是Ltr_1804_to_cc.pdf,其中详细描述了针对印度总理纳伦德拉莫迪的暗杀阴谋。ArsenalConsulting的数字分析表明,该文件是警方查获的最有罪的数据之一,是通过与ModifiedElephant相关联的NetWireRAT远程会话传递的众多文件之一。根据SentinelLabs的详细报告,“进一步的分析表明ModifiedElephant如何在大约15分钟内跨多个不相关的受害者系统执行几乎相同的证据创建和组织”。Guerrero-Saade在推特上表示,如果威胁行为者篡改证据的概念听起来很熟悉,那可能是因为ModifiedElephant的策略优先。几个月前,SentinelOne报道了EGoManiac,这是一个类似于土耳其网络Octopus的威胁行为者(例如,它的恶意软件包含土耳其语,它的诱饵是用土耳其语编写的,它的受害者是土耳其人并且与当地政治活动有关)。在那次活动中,ArsenalConsulting的数字取证显示,在土耳其国家警察没收他们的机器之前,威胁行为者在为土耳其在线新闻门户网站OdaTV工作的记者的系统中植入了犯罪文件。这些伪造的文件后来被用作恐怖主义的证据,并成为监禁记者的理由。SentinelOne的黑格尔在周三的帖子中指出:“在网络威胁领域,一个愿意陷害和监禁易受攻击的对手的威胁行为者被严重低估,这引发了人们对作为证据引入的设备完整性的担忧。令人不安的问题。通过分析EGoManiac入侵,SentinelLab将十年的恶意活动归因于一个以前未知的威胁参与者——ModifiedElephant。“这场威胁活动已经开展多年,由于他们的行动范围有限,他们的工具由于他们的共同性和目标的区域性,他们已经逃避了研究关注和检测。而且,它仍在积极针对其受害者.VictimPsychologyModifiedElephant的目标是长期监视,这有时会导致提供将目标和特定犯罪联系联系起来的捏造“证据”,例如OdaTV记者Bar??Pehlivan和MüyesserY?ld?z使用的设备上的文件。研究人员已经确定了数百个ModifiedElephant网络钓鱼活动的目标群体和个人:主要是印度的活动家、人权捍卫者、记者、学者和法律专业人士。APT主要使用武器化的MicrosoftOffice文件来交付威胁参与者当前喜欢的任何恶意软件——这种偏好会发生变化随着时间的推移,取决于目标。研究人员说,这是这个群体在过去的演变过程年份:2013年年中:攻击者使用带有可执行文件附件的网络钓鱼电子邮件,附件带有伪造的双扩展名(filename.pdf.exe)。2015年后:攻击作者转向不太明显的文件,其中包含可公开利用的漏洞,例如.doc、.pps、.docx、.rar和受密码保护的.rar文件。这些尝试涉及.pdf、.docx和.mht格式文档中的合法诱饵,以在执行恶意软件时吸引目标的注意力。2019年:ModifiedElephant运营商采用网络钓鱼活动,将链接悬挂到外部托管文件,供目标手动下载和执行。2020年:正如国际特赦组织和公民实验室所记录的那样,在针对九名人权捍卫者的协同间谍软件攻击中,操作员还利用大型.rar档案(高达300MB),可能是为了逃避检测。SentinelLabs发现,他们反复分析的诱饵文件利用了多年来被多次利用的漏洞——CVE-2012-0158、CVE-2014-1761、CVE-2013-3906和CVE-2015-1641——以丢弃并执行恶意软件。Harpooning网络钓鱼电子邮件和诱饵使用与目标相关的标题和主题,“例如活动家新闻和团体、全球和地方气候变化事件、政治和公共服务。这是另一个网络钓鱼示例:政府的批评者提防SentinelOne警告说,它只查看了ModifiedElephant完整潜在目标列表的“一小部分”,即威胁参与者的技术和目标。还有很多工作要做到这一点,许多问题仍有待回答。但有一点是明确的,研究人员表示:“世界各地威权政府的批评者必须仔细审视那些试图打压他们的人的技术能力。”本文译自:https://threatpost.com/cybercrooks-frame-targets-plant-incriminating-evidence/178384/转载请注明出处。
