Stuxnet-Related APTs used to create New 'Gossip Girl' Threat

Stuxnet的蠕虫攻击臭名昭着的工业破坏恶意软件家族,被称为Stuxnet ,现在被认为是所谓的“绯闻女孩”群体的可能工作。据研究人员西拉斯·卡特勒和胡安·安德烈斯·格雷罗·萨阿德说,绯闻女孩被认为更加忙碌而且比预期更大。

在新加坡,在2019年的安全分析师峰会上,萨阿德和卡特勒分享了他们的怀疑,即火焰,杜曲和方程组(以前与国家安全局有联系)背后的APT团体和开发商现在已经有第四个合作伙伴,称为Flowershop。研究人员在发现早期Stuxnet的一个元素后得出了这个结论,他们将其命名为“Stuxshop”。

他们还开辟了关于Gossip Girl的另一项研究,即Duqu 1.5的发现,现在显示了恶意软件代码开发的未知中间阶段。他们还分享了Flame恶意软件的新变种的发现,其中一个名为Flame 2.0,它表明代码在看似不再被使用后被带回。在2014年至2016年期间,Flame 2.0一直处于活跃状态。

寻找所有这些威胁之间的联系,卡特勒和萨阿德声称,有证据表明存在一个模块化的发展框架,由一群他们现在称为绯闻女孩的“顶级威胁演员”监督。观察不同APT之间的联系,可以更深入地了解威胁行为者以及它如何影响在线社区。

Stuxshop

Stuxnet在2011年以其对伊朗核工业的使用而闻名。两位研究人员发现旧的Stuxnet组件与Flowershop共享代码。这是一种旧的间谍软件威胁,可以追溯到2002年。它被用于攻击中东的目标,由于卡巴斯基实验室的研究人员于2015年首次发现它。它之所以得名,是因为在其命令和控制服务器基础设施的相关领域中提到了“花”这个词。

发现的旧代码有四个与Flowershop重叠的特定点。分析显示其中三个具有在注册表项中搜索感染标记以及查找Internet代理设置的功能实现。第四个函数重叠是重用评估OS版本的代码。研究人员表示,代码仅由StuxshopFlowershop样本共享,这一事实显示了封闭源代码的重用。

这些调查结果将Flowershop与Equation,Duqu和Flame一起作为自2006年初开始研发Stuxnet的不同阶段的团队。据Saad说,最近的调查显示另一个团队有自己的恶意软件平台用于早期开发Stuxnet蠕虫. 它还证明Stuxnet是模块化开发的一部分,允许威胁参与者之间的协作。

Duqu 1.5

代码研究人员称Duqu 1.5与Stuxnet共享代码已知,研究人员提到主要的Stuxnet内核驱动程序与Duqu'Tilde-D平台共享开发链接,该平台涉及这个威胁演员在中央的积极发展Stuxnet的组件。 Stuxnet现在因其破坏和工业破坏能力而臭名昭着,Duqu主要被用作中东,非洲和欧洲公司的间谍软件。尽管2011年它的活动有所增加,但直到2015年卡巴斯基发现其2.0版本再次重新浮出水面时,它仍然受到关注。

根据Cutler和Saad的说法,这个新版本经过大修,几乎完全在内存中工作,这意味着远离大多数安全软件的检测能力。它具有几乎类似蠕虫的能力,可以跨网络传播。根据卡巴斯基的说法,它在有关伊朗核计划的P5 + 1谈判的场地中被发现。

这种方法的好处使得事件响应者必须在感染的位置识别并检查这个看似无辜的文件。如果父恶意软件最终被分析,那么这一点就不会让研究人员有机会检索子模块并查看攻击者行动的更多范围。

根据两位研究人员的说法,最重要的结论是,Duqu背后的人已经准备好并愿意彻底改变恶意软件发现后的工作方式。他们更加努力地实现了这一目标,这种方式显示了一种新的,协作的恶意软件开发方法,他们将其视为绯闻女孩上层组的标志。

火焰2.0

研究人员还发现了一个新版本的cyberespionage工具包Flame,它也与Stuxnet共享代码重叠,卡巴斯基在2012年发现了旧版Stuxnet,其中包括一个名为Resource 207的Flame插件。这证明是一个重要提示,因为旧版本的Flame的命令和控制服务器开始发送更新,这些更新为剩余的Flame感染启用了自我删除命令,从而烧毁了他们的操作并摧毁了他们的任何迹象。这样做的副作用是,研究社区能够获得上一版Flame所使用的组件和目录的完整列表。根据卡特勒和萨阿德的说法,这就是恶意软件的死亡。

事实证明,这是一个诡计,作为时间戳编制日期的一部分,一直追溯到2014年2月,近两年后,据信最近发现了火焰作业被废弃。

虽然恶意软件是使用Flame源代码构建的,但它现在包含了针对研究人员干预的新对策,这使得理解Flame 2.0的工作变得更加困难。希望在这么早的阶段宣布调查结果将推动威胁情报领域采取同样的协作努力来对抗它。

当Stuxshop,Flame 2.0和Duqu 1.5彼此相邻时,整体出现的情况更好,而不是单独的群体,研究人员看到与Stuxnet的关系很可能在单独的项目中秘密进行。根据Saad和Cutler的说法,绯闻女孩并不是社区发现的第一个超级威胁演员,但它是第一个以更全面的方式进行描述的人。

发表评论

请不要将此评论系统用于支持或结算问题。 若要获取SpyHunter技术支持,请通过SpyHunter打开技术支持问题直接联系我们的技术团队。 有关结算问题,请参考“结算问题?”页面。 有关一般查询(投诉,法律,媒体,营销,版权),请访问我们的"查询和反馈"页面。