SlideShare ist ein Scribd-Unternehmen logo

Kl grey energy overlap

M
malvvv

security

Technologie
1 von 7
Downloaden Sie, um offline zu lesen
Пересечение активности GreyEnergy и Zebrocy Kaspersky Lab ICS CERT 24.01.2019 Version 1.0
ПЕРЕСЕЧЕНИЕ АКТИВНОСТИ GREYENERGY И ZEBROCY 1 © АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», 1997 – 2019 В октябре 2018 года компания ESET опубликовала отчет, описывающий деятельность группы GreyEnergy, которая считается преемником группы BlackEnergy. BlackEnergy (также известна как Sandworm) получила широкую известность, помимо прочего, после атаки на украинские энергетические сети в 2015 году, которая привела к масштабному отключению электроснабжения. Вредоносные файлы GreyEnergy были обнаружены в атаках на индустриальные и критически важные объекты, в основном на Украине. Эксперты Kaspersky Lab ICS CERT обнаружили пересечение активности группы GreyEnergy и подмножества группы Sofacy (Fancy Bear, Sednit, APT28, Tsar Team, и др.), которое получило название Zebrocy. Название Zebrocy выбрано по имени семейства вредоносных программ, которое группа Sofacy использует с середины ноября 2015 года в качестве инструмента пост-эксплуатации на компьютерах своих жертв. Мишени Zebrocy разбросаны по всему Ближнему Востоку, они находятся и в Европе, и в Азии. Большая часть целей относится к госучреждениям. GreyEnergy и Zebrocy использовали одни и те же серверы в одно и то же время и атаковали одну и ту же организацию.
ПЕРЕСЕЧЕНИЕ АКТИВНОСТИ GREYENERGY И ZEBROCY 2 © АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», 1997 – 2019 Детали Серверы В июле 2018 года в приватном аналитическом отчете «Лаборатории Касперского» об APT-угрозах за июль 2018 года «Zebrocy implements new VBA anti-sandboxing tricks”» были приведены сведения о разных серверах управления группировки Zebrocy, включая 193.23.181[.]151. В ходе нашего исследования были найдены следующие образцы Zebrocy, которые использовали сервер 193.23.181[.]151 для скачивания дополнительных компонентов (MD5): 7f20f7fbce9deee893dbce1a1b62827d 170d2721b91482e5cabf3d2fec091151 eae0b8997c82ebd93e999d4ce14dedf5 a5cbf5a131e84cd2c0a11fca5ddaa50a c9e1b0628ac62e5cb01bf1fa30ac8317 Эти образцы используют для скачивания дополнительных файлов URL следующего вида: hxxp://193.23.181[.]151/help-desk/remote-assistant-service/PostId.php?q={hex} Этот же сервер использовался в целевой фишинговой атаке GreyEnergy с применением вредоносного документа– как это уже описано в отчете компании FireEye. Подробные сведения об этом документе:  Документ (11227eca89cc053fb189fac3ebf27497) с именем “Seminar.rtf” эксплуатировал уязвимость CVE-2017-0199.  “Seminar.rtf” скачивал с адреса: hxxp://193.23.181[.]151/Seminar.rtf документ второго этапа (4de5adb865b5198b4f2593ad436fceff), который эксплуатировал уязвимость CVE-2017-11882).  Исходный документ “Seminar.rtf” был размещен на том же сервере и был скачан жертвами с адреса: hxxp://193.23.181[.]151/ministerstvo- energetiki/seminars/2018/06/Seminar.rtf. Еще один сервер, который был использован как Zebrocy, так и GreyEnergy, – это 185.217.0[.]124. Также был найден документ целевого фишинга GreyEnergy под названием “Seminar.rtf” (a541295eca38eaa4fde122468d633083), эксплуатирующий уязвимость CVE-2017-11882.
ПЕРЕСЕЧЕНИЕ АКТИВНОСТИ GREYENERGY И ZEBROCY 3 © АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», 1997 – 2019 Этот документ скачивает вредоносный файл GreyEnergy (78734cd268e5c9ab4184e1bbe21a6eb9) по SMB-ссылке: 185.217.0[.]124DocSeminarSeminar_2018_1.AO-A Следующие образцы Zebrocy использовали тот же самый сервер: 7f20f7fbce9deee893dbce1a1b62827d 170d2721b91482e5cabf3d2fec091151 3803af6700ff4f712cd698cee262d4ac e3100228f90692a19f88d9acb620960d Они скачивали дополнительные файлы по ссылке: hxxp://185.217.0[.]124/help-desk/remote-assistant-service/PostId.php?q={hex} Также стоит отметить, что по крайней мере два образца из списка выше используют оба сервера – 193.23.181[.]151 и 185.217.0[.]124 – в качестве командных. “Seminar.rtf” – документ- приманка GreyEnergy)
ПЕРЕСЕЧЕНИЕ АКТИВНОСТИ GREYENERGY И ZEBROCY 4 © АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», 1997 – 2019 185.217.0.124 193.23.181.151 GreyEnergy Phishing document server Zebrocy CnC Атакуемая компания Документы целевого фишинга, использованные как GreyEnergy, так и Zebrocy атаковали ряд промышленных компаний в Казахстане. Одну из компаний обе группировки атаковали в июне 2018 года. 193.23.181.151 GreyEnergy Phishing doc: On behalf of Kazakhstan Ministry of Energy Zebrocy Phishing doc: On behalf of Kazakhstan Ministry of Energy download/host Zebrocy Sample CnC Attacked Company Target: June 2018 Target: June 2018 Drop Время атак Документ целевого фишинга “Seminar.rtf”, который устанавливал вредоносный файл GreyEnergy, был отправлен атакуемой компании приблизительно 21 июня 2018. Фишинговый документ от Zebrocy – приблизительно 28 июня. Серверы, ассоциированные с GreyEnergy и Zebrocy Пересечение активности GreyEnergy и Zebrocy
ПЕРЕСЕЧЕНИЕ АКТИВНОСТИ GREYENERGY И ZEBROCY 5 © АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», 1997 – 2019 Оба сервера использовались обеими группами практически в одно и то же время:  193.23.181[.]151 использовался GreyEnergy и Zebrocy в июне 2018 года;  185.217.0[.]124 использовался GreyEnergy с мая по июнь 2018 года, а Zebrocy в июне 2018 года. Выводы GreyEnergy/BlackEnergy - продвинутая группа, обладающая обширными знаниями, связанными с проникновением в сети жертв и использованием любых известных им уязвимостей. Эта группа активно обновляет свои инструменты и инфраструктуру, чтобы избежать обнаружения, отслеживания и атрибуции. В этой статье представлены сведения о том, как GreyEnergy и подмножество группы Sofacy, известное как Zebrocy, использовали в определенное время, хотя и по-разному, одну и ту же инфраструктуру серверов и как они атаковали одну и ту же организацию приблизительно в одно время. Достоверная атрибуция GreyEnergy отсутствует, однако найденные факты указывают на то, что группы GreyEnergy и Sofacy связаны, как и предполагали ранее авторы некоторых публикаций. За более подробной информацией об отчетах по APT-угрозам вы можете обратиться по адресу intelreports@kaspersky.com За более подробной информацией об угрозах, актуальных для АСУ ТП, вы можете обратиться по адресу Ics-cert@kaspersky.com Lокумент- приманка Zebrocy – “(28.06.18) Izmeneniya v prikaz PK.doc”
ПЕРЕСЕЧЕНИЕ АКТИВНОСТИ GREYENERGY И ZEBROCY 6 © АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», 1997 – 2019 Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ICS CERT) — глобальный проект «Лаборатории Касперского», нацеленный на координацию действий производителей систем автоматизации, владельцев и операторов промышленных объектов, исследователей информационной безопасности при решении задач защиты промышленных предприятий и объектов критически важных инфраструктур. Kaspersky lab ICS CERT Ics-cert@kaspersky.com

Empfohlen

SupplyLab - публикация, доставка, развёртывание, лицензирование | Александр П...
SupplyLab - публикация, доставка, развёртывание, лицензирование | Александр П...SupplyLab - публикация, доставка, развёртывание, лицензирование | Александр П...
SupplyLab - публикация, доставка, развёртывание, лицензирование | Александр П...Positive Hack Days
 
12 vzor
12 vzor 12 vzor
12 vzor malvvv
 
11
11 11
11 malvvv
 
10 isbc
10 isbc 10 isbc
10 isbc malvvv
 
09 assaabloy
09 assaabloy 09 assaabloy
09 assaabloy malvvv
 
08 dormakaba
08 dormakaba 08 dormakaba
08 dormakaba malvvv
 
07 parsec
07 parsec 07 parsec
07 parsec malvvv
 
06 videomax
06 videomax 06 videomax
06 videomax malvvv
 

Empfohlen

SupplyLab - публикация, доставка, развёртывание, лицензирование | Александр П...
SupplyLab - публикация, доставка, развёртывание, лицензирование | Александр П...SupplyLab - публикация, доставка, развёртывание, лицензирование | Александр П...
SupplyLab - публикация, доставка, развёртывание, лицензирование | Александр П...Positive Hack Days
 
12 vzor
12 vzor 12 vzor
12 vzor malvvv
 
11
11 11
11 malvvv
 
10 isbc
10 isbc 10 isbc
10 isbc malvvv
 
09 assaabloy
09 assaabloy 09 assaabloy
09 assaabloy malvvv
 
08 dormakaba
08 dormakaba 08 dormakaba
08 dormakaba malvvv
 
07 parsec
07 parsec 07 parsec
07 parsec malvvv
 
06 videomax
06 videomax 06 videomax
06 videomax malvvv
 
05 sigur
05 sigur 05 sigur
05 sigur malvvv
 
04 perco
04 perco 04 perco
04 perco malvvv
 
02 itrium
02 itrium02 itrium
02 itriummalvvv
 
01 hid
01 hid 01 hid
01 hid malvvv
 
En 50132-7
En 50132-7En 50132-7
En 50132-7malvvv
 
01
0101
01malvvv
 
2018 ic3 report
2018 ic3 report2018 ic3 report
2018 ic3 reportmalvvv
 
threats
threatsthreats
threatsmalvvv
 
Google android security_2018_report
Google android security_2018_reportGoogle android security_2018_report
Google android security_2018_reportmalvvv
 
Owasp top-10 proactive controls-2018
Owasp top-10 proactive controls-2018Owasp top-10 proactive controls-2018
Owasp top-10 proactive controls-2018malvvv
 
Web vulnerabilities-2018
Web vulnerabilities-2018Web vulnerabilities-2018
Web vulnerabilities-2018malvvv
 
Kpsn
Kpsn Kpsn
Kpsn malvvv
 
Testirovanie parolnyh politik
Testirovanie parolnyh politikTestirovanie parolnyh politik
Testirovanie parolnyh politikmalvvv
 
statistics 2018
statistics 2018statistics 2018
statistics 2018malvvv
 
Corp vulnerabilities-2019
Corp vulnerabilities-2019Corp vulnerabilities-2019
Corp vulnerabilities-2019malvvv
 
Ksb2018 story of the year miners
Ksb2018 story of the year minersKsb2018 story of the year miners
Ksb2018 story of the year minersmalvvv
 
Cryptocurrency threat-predictions-for-2019
Cryptocurrency threat-predictions-for-2019Cryptocurrency threat-predictions-for-2019
Cryptocurrency threat-predictions-for-2019malvvv
 
Cisco 2018
Cisco 2018Cisco 2018
Cisco 2018malvvv
 
Cybersecurity 2018-2019
Cybersecurity 2018-2019Cybersecurity 2018-2019
Cybersecurity 2018-2019malvvv
 
ИБ
ИБИБ
ИБmalvvv
 

Weitere ähnliche Inhalte

Mehr von malvvv

05 sigur
05 sigur 05 sigur
05 sigur malvvv
 
04 perco
04 perco 04 perco
04 perco malvvv
 
02 itrium
02 itrium02 itrium
02 itriummalvvv
 
01 hid
01 hid 01 hid
01 hid malvvv
 
En 50132-7
En 50132-7En 50132-7
En 50132-7malvvv
 
2018 ic3 report
2018 ic3 report2018 ic3 report
2018 ic3 reportmalvvv
 
threats
threatsthreats
threatsmalvvv
 
Google android security_2018_report
Google android security_2018_reportGoogle android security_2018_report
Google android security_2018_reportmalvvv
 
Owasp top-10 proactive controls-2018
Owasp top-10 proactive controls-2018Owasp top-10 proactive controls-2018
Owasp top-10 proactive controls-2018malvvv
 
Web vulnerabilities-2018
Web vulnerabilities-2018Web vulnerabilities-2018
Web vulnerabilities-2018malvvv
 
Testirovanie parolnyh politik
Testirovanie parolnyh politikTestirovanie parolnyh politik
Testirovanie parolnyh politikmalvvv
 
statistics 2018
statistics 2018statistics 2018
statistics 2018malvvv
 
Corp vulnerabilities-2019
Corp vulnerabilities-2019Corp vulnerabilities-2019
Corp vulnerabilities-2019malvvv
 
Ksb2018 story of the year miners
Ksb2018 story of the year minersKsb2018 story of the year miners
Ksb2018 story of the year minersmalvvv
 
Cryptocurrency threat-predictions-for-2019
Cryptocurrency threat-predictions-for-2019Cryptocurrency threat-predictions-for-2019
Cryptocurrency threat-predictions-for-2019malvvv
 
Cisco 2018
Cisco 2018Cisco 2018
Cisco 2018malvvv
 
Cybersecurity 2018-2019
Cybersecurity 2018-2019Cybersecurity 2018-2019
Cybersecurity 2018-2019malvvv
 

Mehr von malvvv (20)

05 sigur
05 sigur 05 sigur
05 sigur
 
04 perco
04 perco 04 perco
04 perco
 
02 itrium
02 itrium02 itrium
02 itrium
 
01 hid
01 hid 01 hid
01 hid
 
En 50132-7
En 50132-7En 50132-7
En 50132-7
 
01
0101
01
 
2018 ic3 report
2018 ic3 report2018 ic3 report
2018 ic3 report
 
threats
threatsthreats
threats
 
Google android security_2018_report
Google android security_2018_reportGoogle android security_2018_report
Google android security_2018_report
 
Owasp top-10 proactive controls-2018
Owasp top-10 proactive controls-2018Owasp top-10 proactive controls-2018
Owasp top-10 proactive controls-2018
 
Web vulnerabilities-2018
Web vulnerabilities-2018Web vulnerabilities-2018
Web vulnerabilities-2018
 
Kpsn
Kpsn Kpsn
Kpsn
 
Testirovanie parolnyh politik
Testirovanie parolnyh politikTestirovanie parolnyh politik
Testirovanie parolnyh politik
 
statistics 2018
statistics 2018statistics 2018
statistics 2018
 
Corp vulnerabilities-2019
Corp vulnerabilities-2019Corp vulnerabilities-2019
Corp vulnerabilities-2019
 
Ksb2018 story of the year miners
Ksb2018 story of the year minersKsb2018 story of the year miners
Ksb2018 story of the year miners
 
Cryptocurrency threat-predictions-for-2019
Cryptocurrency threat-predictions-for-2019Cryptocurrency threat-predictions-for-2019
Cryptocurrency threat-predictions-for-2019
 
Cisco 2018
Cisco 2018Cisco 2018
Cisco 2018
 
Cybersecurity 2018-2019
Cybersecurity 2018-2019Cybersecurity 2018-2019
Cybersecurity 2018-2019
 
ИБ
ИБИБ
ИБ
 

Kl grey energy overlap

  • 2. ПЕРЕСЕЧЕНИЕ АКТИВНОСТИ GREYENERGY И ZEBROCY 1 © АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», 1997 – 2019 В октябре 2018 года компания ESET опубликовала отчет, описывающий деятельность группы GreyEnergy, которая считается преемником группы BlackEnergy. BlackEnergy (также известна как Sandworm) получила широкую известность, помимо прочего, после атаки на украинские энергетические сети в 2015 году, которая привела к масштабному отключению электроснабжения. Вредоносные файлы GreyEnergy были обнаружены в атаках на индустриальные и критически важные объекты, в основном на Украине. Эксперты Kaspersky Lab ICS CERT обнаружили пересечение активности группы GreyEnergy и подмножества группы Sofacy (Fancy Bear, Sednit, APT28, Tsar Team, и др.), которое получило название Zebrocy. Название Zebrocy выбрано по имени семейства вредоносных программ, которое группа Sofacy использует с середины ноября 2015 года в качестве инструмента пост-эксплуатации на компьютерах своих жертв. Мишени Zebrocy разбросаны по всему Ближнему Востоку, они находятся и в Европе, и в Азии. Большая часть целей относится к госучреждениям. GreyEnergy и Zebrocy использовали одни и те же серверы в одно и то же время и атаковали одну и ту же организацию.
  • 3. ПЕРЕСЕЧЕНИЕ АКТИВНОСТИ GREYENERGY И ZEBROCY 2 © АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», 1997 – 2019 Детали Серверы В июле 2018 года в приватном аналитическом отчете «Лаборатории Касперского» об APT-угрозах за июль 2018 года «Zebrocy implements new VBA anti-sandboxing tricks”» были приведены сведения о разных серверах управления группировки Zebrocy, включая 193.23.181[.]151. В ходе нашего исследования были найдены следующие образцы Zebrocy, которые использовали сервер 193.23.181[.]151 для скачивания дополнительных компонентов (MD5): 7f20f7fbce9deee893dbce1a1b62827d 170d2721b91482e5cabf3d2fec091151 eae0b8997c82ebd93e999d4ce14dedf5 a5cbf5a131e84cd2c0a11fca5ddaa50a c9e1b0628ac62e5cb01bf1fa30ac8317 Эти образцы используют для скачивания дополнительных файлов URL следующего вида: hxxp://193.23.181[.]151/help-desk/remote-assistant-service/PostId.php?q={hex} Этот же сервер использовался в целевой фишинговой атаке GreyEnergy с применением вредоносного документа– как это уже описано в отчете компании FireEye. Подробные сведения об этом документе:  Документ (11227eca89cc053fb189fac3ebf27497) с именем “Seminar.rtf” эксплуатировал уязвимость CVE-2017-0199.  “Seminar.rtf” скачивал с адреса: hxxp://193.23.181[.]151/Seminar.rtf документ второго этапа (4de5adb865b5198b4f2593ad436fceff), который эксплуатировал уязвимость CVE-2017-11882).  Исходный документ “Seminar.rtf” был размещен на том же сервере и был скачан жертвами с адреса: hxxp://193.23.181[.]151/ministerstvo- energetiki/seminars/2018/06/Seminar.rtf. Еще один сервер, который был использован как Zebrocy, так и GreyEnergy, – это 185.217.0[.]124. Также был найден документ целевого фишинга GreyEnergy под названием “Seminar.rtf” (a541295eca38eaa4fde122468d633083), эксплуатирующий уязвимость CVE-2017-11882.
  • 4. ПЕРЕСЕЧЕНИЕ АКТИВНОСТИ GREYENERGY И ZEBROCY 3 © АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», 1997 – 2019 Этот документ скачивает вредоносный файл GreyEnergy (78734cd268e5c9ab4184e1bbe21a6eb9) по SMB-ссылке: 185.217.0[.]124DocSeminarSeminar_2018_1.AO-A Следующие образцы Zebrocy использовали тот же самый сервер: 7f20f7fbce9deee893dbce1a1b62827d 170d2721b91482e5cabf3d2fec091151 3803af6700ff4f712cd698cee262d4ac e3100228f90692a19f88d9acb620960d Они скачивали дополнительные файлы по ссылке: hxxp://185.217.0[.]124/help-desk/remote-assistant-service/PostId.php?q={hex} Также стоит отметить, что по крайней мере два образца из списка выше используют оба сервера – 193.23.181[.]151 и 185.217.0[.]124 – в качестве командных. “Seminar.rtf” – документ- приманка GreyEnergy)
  • 5. ПЕРЕСЕЧЕНИЕ АКТИВНОСТИ GREYENERGY И ZEBROCY 4 © АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», 1997 – 2019 185.217.0.124 193.23.181.151 GreyEnergy Phishing document server Zebrocy CnC Атакуемая компания Документы целевого фишинга, использованные как GreyEnergy, так и Zebrocy атаковали ряд промышленных компаний в Казахстане. Одну из компаний обе группировки атаковали в июне 2018 года. 193.23.181.151 GreyEnergy Phishing doc: On behalf of Kazakhstan Ministry of Energy Zebrocy Phishing doc: On behalf of Kazakhstan Ministry of Energy download/host Zebrocy Sample CnC Attacked Company Target: June 2018 Target: June 2018 Drop Время атак Документ целевого фишинга “Seminar.rtf”, который устанавливал вредоносный файл GreyEnergy, был отправлен атакуемой компании приблизительно 21 июня 2018. Фишинговый документ от Zebrocy – приблизительно 28 июня. Серверы, ассоциированные с GreyEnergy и Zebrocy Пересечение активности GreyEnergy и Zebrocy
  • 6. ПЕРЕСЕЧЕНИЕ АКТИВНОСТИ GREYENERGY И ZEBROCY 5 © АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», 1997 – 2019 Оба сервера использовались обеими группами практически в одно и то же время:  193.23.181[.]151 использовался GreyEnergy и Zebrocy в июне 2018 года;  185.217.0[.]124 использовался GreyEnergy с мая по июнь 2018 года, а Zebrocy в июне 2018 года. Выводы GreyEnergy/BlackEnergy - продвинутая группа, обладающая обширными знаниями, связанными с проникновением в сети жертв и использованием любых известных им уязвимостей. Эта группа активно обновляет свои инструменты и инфраструктуру, чтобы избежать обнаружения, отслеживания и атрибуции. В этой статье представлены сведения о том, как GreyEnergy и подмножество группы Sofacy, известное как Zebrocy, использовали в определенное время, хотя и по-разному, одну и ту же инфраструктуру серверов и как они атаковали одну и ту же организацию приблизительно в одно время. Достоверная атрибуция GreyEnergy отсутствует, однако найденные факты указывают на то, что группы GreyEnergy и Sofacy связаны, как и предполагали ранее авторы некоторых публикаций. За более подробной информацией об отчетах по APT-угрозам вы можете обратиться по адресу intelreports@kaspersky.com За более подробной информацией об угрозах, актуальных для АСУ ТП, вы можете обратиться по адресу Ics-cert@kaspersky.com Lокумент- приманка Zebrocy – “(28.06.18) Izmeneniya v prikaz PK.doc”
  • 7. ПЕРЕСЕЧЕНИЕ АКТИВНОСТИ GREYENERGY И ZEBROCY 6 © АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», 1997 – 2019 Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ICS CERT) — глобальный проект «Лаборатории Касперского», нацеленный на координацию действий производителей систем автоматизации, владельцев и операторов промышленных объектов, исследователей информационной безопасности при решении задач защиты промышленных предприятий и объектов критически важных инфраструктур. Kaspersky lab ICS CERT Ics-cert@kaspersky.com