灰色能源
GreyEnergy APT(高级持久威胁)被认为是被称为BlackEnergy APT的具有破坏性的黑客组织的继任者。网络安全专家认为这两个黑客组织有关联的原因有几个:
- 当BlackEnergy APT从网络犯罪世界中消失时,GreyEnergy黑客组织就出现了。
- GreyEnergy和BlackEnergy APT都倾向于使用灵活,轻量级的黑客工具来操作,这些工具易于修改和控制。
- 两个黑客组织的大部分努力都集中在波兰和乌克兰。
- 它们都倾向于针对关键部门,例如工业或能源相关机构。
- GreyEnergy和BlackEnergy APT构建和使用的基础设施似乎密切相关。
改变方法
但是,似乎同时属于这两个黑客集团的个人似乎已经改变了策略。在大多数情况下, BlackEnergy以其极具破坏性的趋势而闻名,并且似乎不太在乎隐藏其轨迹或放置在低谷上。这与GreyEnergy APT所采用的方法完全相反。他们要更加谨慎,以免受到恶意软件研究人员的监视,而且它们传播的威胁噪声和破坏性也较小。已经注意到,GreyEnergy集团开展的许多活动都涉及一个微型后门特洛伊木马,该木马被用作攻击者向渗透主机上施加更强大威胁的网关。为了确保他们的威胁尽可能安静地运行,GreEnergy APT一直在利用无文件恶意软件。此外,GreyEnergy黑客小组一直在研究多个"恶意软件清除程序"。这些工具使恶意软件操作员能够擦除可能残留在受害者系统上的有害活动的任何痕迹。
过去,BlackEnergy小组的目标是大肆破坏,而今天开始运作的GreyEnergy APT主要集中在间谍活动上。一旦GreyEnergy小组渗透到系统中,他们很可能会停留在低位,并通过记录击键,拍摄桌面屏幕快照,提取感兴趣的文件,收集文档,收集登录凭据和其他数据来从主机收集信息。有时,GreyEnergy APT不会使用私人开发的黑客工具,而是会使用公开可用的正版应用程序,例如Mimikatz ,WinExe,PsExec,Nmap等。
有趣的是,黑客组织如此彻底地改变了策略。可能采取了更为安静的方法,以便参与其中的个人能够继续其业务并最大程度地减少被当局抓获的机会。将来,我们可能会继续听到有关GreyEnergy APT的活动的信息。
