Stuxnet-Related APTs used to create New 'Gossip Girl' Threat

Stuxnet的蠕蟲攻擊臭名昭著的工業破壞惡意軟件家族,被稱為Stuxnet ,現在被認為是所謂的“緋聞女孩”群體的可能工作。據研究人員西拉斯·卡特勒和胡安·安德烈斯·格雷羅·薩阿德說,緋聞女孩被認為更加忙碌而且比預期更大。

在新加坡,在2019年的安全分析師峰會上,薩阿德和卡特勒分享了他們的懷疑,即火焰,杜曲和方程組(以前與國家安全局有聯繫)背後的APT團體和開發商現在已經有第四個合作夥伴,稱為Flowershop。研究人員在發現早期Stuxnet的一個元素後得出了這個結論,他們將其命名為“Stuxshop”。

他們還開闢了關於Gossip Girl的另一項研究,即Duqu 1.5的發現,現在顯示了惡意軟件代碼開發的未知中間階段。他們還分享了Flame惡意軟件的新變種的發現,其中一個名為Flame 2.0,它表明代碼在看似不再被使用後被帶回。在2014年至2016年期間,Flame 2.0一直處於活躍狀態。

尋找所有這些威脅之間的聯繫,卡特勒和薩阿德聲稱,有證據表明存在一個模塊化的發展框架,由一群他們現在稱為緋聞女孩的“頂級威脅演員”監督。觀察不同APT之間的聯繫,可以更深入地了解威脅行為者以及它如何影響在線社區。

Stuxshop

Stuxnet在2011年以其對伊朗核工業的使用而聞名。兩位研究人員發現舊的Stuxnet組件與Flowershop共享代碼。這是一種舊的間諜軟件威脅,可以追溯到2002年。它被用於攻擊中東的目標,由於卡巴斯基實驗室的研究人員於2015年首次發現它。它之所以得名,是因為在其命令和控制服務器基礎設施的相關領域中提到了“花”這個詞。

發現的舊代碼有四個與Flowershop重疊的特定點。分析顯示其中三個具有在註冊表項中搜索感染標記以及查找Internet代理設置的功能實現。第四個函數重疊是重用評估OS版本的代碼。研究人員表示,代碼僅由StuxshopFlowershop樣本共享,這一事實顯示了封閉源代碼的重用。

這些調查結果將Flowershop與Equation,Duqu和Flame一起作為自2006年初開始研發Stuxnet的不同階段的團隊。據Saad說,最近的調查顯示另一個團隊有自己的惡意軟件平台用於早期開發Stuxnet蠕蟲. 它還證明Stuxnet是模塊化開發的一部分,允許威脅參與者之間的協作。

Duqu 1.5

代碼研究人員稱Duqu 1.5與Stuxnet共享代碼已知,研究人員提到主要的Stuxnet內核驅動程序與Duqu'Tilde-D平台共享開發鏈接,該平台涉及這個威脅演員在中央的積極發展Stuxnet的組件。 Stuxnet現在因其破壞和工業破壞能力而臭名昭著,Duqu主要被用作中東,非洲和歐洲公司的間諜軟件。儘管2011年它的活動有所增加,但直到2015年卡巴斯基發現其2.0版本再次重新浮出水面時,它仍然受到關注。

根據Cutler和Saad的說法,這個新版本經過大修,幾乎完全在內存中工作,這意味著遠離大多數安全軟件的檢測能力。它具有幾乎類似蠕蟲的能力,可以跨網絡傳播。根據卡巴斯基的說法,它在有關伊朗核計劃的P5 + 1談判的場地中被發現。

這種方法的好處使得事件響應者必須在感染的位置識別並檢查這個看似無辜的文件。如果父惡意軟件最終被分析,那麼這一點就不會讓研究人員有機會檢索子模塊並查看攻擊者行動的更多範圍。

根據兩位研究人員的說法,最重要的結論是,Duqu背後的人已經準備好並願意徹底改變惡意軟件發現後的工作方式。他們更加努力地實現了這一目標,這種方式顯示了一種新的,協作的惡意軟件開發方法,他們將其視為緋聞女孩上層組的標誌。

火焰2.0

研究人員還發現了一個新版本的cyberespionage工具包Flame,它也與Stuxnet共享代碼重疊,卡巴斯基在2012年發現了舊版Stuxnet,其中包括一個名為Resource 207的Flame插件。這證明是一個重要提示,因為舊版本的Flame的命令和控制服務器開始發送更新,這些更新為剩餘的Flame感染啟用了自我刪除命令,從而燒毀了他們的操作並摧毀了他們的任何跡象。這樣做的副作用是,研究社區能夠獲得上一版Flame所使用的組件和目錄的完整列表。根據卡特勒和薩阿德的說法,這就是惡意軟件的死亡。

事實證明,這是一個詭計,作為時間戳編制日期的一部分,一直追溯到2014年2月,近兩年後,據信最近發現了火焰作業被廢棄。

雖然惡意軟件是使用Flame源代碼構建的,但它現在包含了針對研究人員干預的新對策,這使得理解Flame 2.0的工作變得更加困難。希望在這麼早的階段宣布調查結果將推動威脅情報領域採取同樣的協作努力來對抗它。

當Stuxshop,Flame 2.0和Duqu 1.5彼此相鄰時,整體出現的情況更好,而不是單獨的群體,研究人員認為與Stuxnet的關係很可能在單獨的項目中秘密進行。根據Saad和Cutler的說法,緋聞女孩並不是社區發現的第一個超級威脅演員,但它是第一個以更全面的方式進行描述的人。

發表評論

請不要將此評論系統用於支持或結算問題。 若要獲取SpyHunter技術支持,請通過SpyHunter打開技術支持問題直接聯繫我們的技術團隊。 有關結算問題,請參考“結算問題?”頁面。 有關一般查詢(投訴、法律、媒體、營銷、版權),請訪問我們的“查詢和反饋”頁面。