灰色能源
GreyEnergy APT(高級持久威脅)被認為是被稱為BlackEnergy APT的具有破壞性的黑客組織的繼任者。網絡安全專家認為這兩個黑客組織有關聯的原因有幾個:
- 當BlackEnergy APT從網絡犯罪世界中消失時,GreyEnergy黑客組織就出現了。
- GreyEnergy和BlackEnergy APT都傾向於使用靈活,輕量級的黑客工具來操作,這些工具易於修改和控制。
- 兩個黑客組織的大部分努力都集中在波蘭和烏克蘭。
- 它們都傾向於針對關鍵部門,例如工業或能源相關機構。
- GreyEnergy和BlackEnergy APT構建和使用的基礎設施似乎密切相關。
改變方法
但是,似乎同時屬於這兩個黑客集團的個人似乎已經改變了策略。在大多數情況下, BlackEnergy以其極具破壞性的趨勢而聞名,並且似乎不太在乎隱藏其軌跡或放置在低谷上。這與GreyEnergy APT所採用的方法完全相反。他們要更加謹慎,以免受到惡意軟件研究人員的監視,而且它們傳播的威脅噪聲和破壞性也較小。已經註意到,GreyEnergy集團開展的許多活動都涉及一個微型後門特洛伊木馬,該木馬被用作攻擊者向滲透主機上施加更強大威脅的網關。為了確保他們的威脅盡可能安靜地運行,GreEnergy APT一直在利用無文件惡意軟件。此外,GreyEnergy黑客小組一直在研究多個"惡意軟件清除程序"。這些工具使惡意軟件操作員能夠擦除可能殘留在受害者係統上的有害活動的任何痕跡。
過去,BlackEnergy小組的目標是大肆破壞,而今天開始運作的GreyEnergy APT主要集中在間諜活動上。一旦GreyEnergy小組滲透到系統中,他們很可能會停留在低位,並通過記錄擊鍵,拍攝桌面屏幕快照,提取感興趣的文件,收集文檔,收集登錄憑據和其他數據來從主機收集信息。有時,GreyEnergy APT不會使用私人開發的黑客工具,而是會使用公開可用的正版應用程序,例如Mimikatz ,WinExe,PsExec,Nmap等。
有趣的是,黑客組織如此徹底地改變了策略。可能採取了更為安靜的方法,以便參與其中的個人能夠繼續其業務並最大程度地減少被當局抓獲的機會。將來,我們可能會繼續聽到有關GreyEnergy APT的活動的信息。
