【资料】俄-乌战争中的网络战武器使用概述

观察俄罗斯和乌克兰之间持续不断的冲突，我们可以清楚地看到，利用恶意软件进行网络攻击是现代混合战争战略的重要组成部分。常规战争是在战场上进行的，受多种因素的限制，网络战争在网络空间继续进行，为渗透和破坏远远落后于前线的目标提供了机会。自今年2月俄乌战争以来，俄罗斯一直在用网络攻击辅助针对乌克兰的现实战。

俄罗斯在2月份最初阶段使用了网络攻击。Trustwave和其他安全研究人员的报告显示，俄罗斯的网络攻击者一直在施加压力，发起了一系列攻击，显示了恶意软件是如何被用于破坏或控制乌克兰的组织的目标系统的。

这篇文章总结了一些最突出的俄罗斯威胁参与者和用于对乌克兰网络攻击的恶意软件工具。

俄罗斯是乌克兰恐怖袭击的幕后黑手

尽管网络攻击的水平很高，技术也很复杂，俄罗斯特种部队也有能力掩盖踪迹，但攻击过后仍有一些痕迹存在，这无疑表明俄罗斯参与了当前对乌克兰的攻击。

正如爱沙尼亚外国情报局(Estonian Foreign Intelligence Service)和英国政府出版物发布的一份报告所提到的，我们可以清楚地发现，相关威胁组织与俄罗斯特种部队之间存在某种联系：

APT28，也被称为Cozy Bear或The Dukes，与俄罗斯对外情报局(SVR)有联系。

APT29，也被称为Fancy Bear或Sofacy，追查到俄罗斯联邦武装部队(前GRU) 26165部队总参谋部。

SANDWORM，也被称为黑色能源，与俄罗斯联邦武装部队总参谋部(前GRU) 74455部队有关。

“蜻蜓”又名“精力充沛的熊”或“卧伏的雪人”，被确认为俄罗斯联邦安全局(FSB)第71330部队。

GAMAREDON，也被称为：原始熊，末日来临，在11月追溯到俄罗斯联邦安全局(FSB)2021，乌克兰安全部门(SSU)成功地确认了GAMAREDON背后的人物与俄罗斯联邦安全局(FSB)的关系。

其他积极参与的威胁行为者，如UNC2589，也被称为Ember Bear或Lorec53，以及InvisiMole，都没有表现出与俄罗斯特种部队的明确联系。然而，正如ESET研究人员发表的，InvisiMole被发现使用了由Gamaredon操作的服务器基础设施。

威胁行动者和俄罗斯特种部队联系

攻击和恶意软件使用的时间轴

下面的时间轴说明了乌克兰组织所承受的压力，政府基础设施是袭击者的主要目标。使用的恶意软件种类繁多，以及俄罗斯政府支持的威胁行为者的参与，很明显地表明，针对攻击者的成功保护措施不仅需要被动的，还需要主动的方法。

看看使用的恶意软件的类型，我们可以根据攻击者的目标区分两种攻击:

破坏性攻击的目的是破坏数据，使目标系统无法操作。Viasat公司称，2月24日，战争开始的那一天，针对Viasat公司KA-SAT网络的网络攻击影响了乌克兰的数千名客户和欧洲各地的数万名客户。据路透社报道，德国超过5800个Enercon风力涡轮机受到这次攻击的影响。据SSSCIP 4月8日报道，“沙虫”组织袭击了一家乌克兰能源供应商。幸运的是，由于及时的响应，只有部分IT基础设施受到影响，并避免了严重的电力中断。
间谍攻击旨在建立一个立足点，并从目标系统中窃取数据。在攻击中使用的恶意软件通常为攻击者提供后门访问，包括网络摄像头和麦克风捕捉，键盘记录，以及下载和安装额外组件的可能性。被窃取的数据包括操作系统信息、文档、图片和存储在浏览器和其他软件上的密码。

针对乌克兰的恶意软件网络攻击

攻击中使用的初始载体

下面的流程时间表说明了用于部署恶意软件的初始攻击载体。使用带有恶意附件或链接的网络钓鱼来传递CobaltStrike和GraphSteel后门，或利用公共应用程序的漏洞，如Viasat网络攻击中被破坏的VPN设备，是一些最常用的入侵方法。虽然HermeticWiper、HermeticRansom和CaddyWiper的最初攻击载体还不完全清楚，但至少有一家安全厂商报告说，攻击者似乎利用了微软SQL服务器的一个已知漏洞（CVE-2021-1636）。

HermeticWiper

这个Wiper恶意软件被命名为“HermeticWiper”，基于从一家名为Hermetica数字有限公司窃取的数字证书。hermecwiper禁用卷影复制服务(VSS)负责数据备份和滥用来自EaseUS分区主的合法驱动程序以破坏数据。ESET指出，蜘蛛实验室安全研究人员的分析也证实，清除器不仅会破坏主引导记录(MBR)和卷引导记录，还会通过碎片整理清除文件，使恢复变得不可能。值得一提的是，hermeticulous专门针对Windows注册表文件ntuser.dat和Windows事件日志，以尽量减少可用的取证工件的数量。最后，会触发系统重启，使目标主机无法操作。

有趣的是，“HermeticWiper”恶意软件的编译时间是2021年12月28日。这表明，2月份的袭击至少从那时起就在准备之中。

APT组织:

Gamaredon (原始熊，末日来临)

攻击报道:

2022年2月23日:“HermeticWiper”被用于对乌克兰知名组织的大规模网络攻击(来源:ESET)

IOCs ：

•SHA256:0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da

HermeticRansom

HermeticRansom是用Go语言编写的。正如CrowdStrike的分析所示，它列举了可用的驱动器，收集了除Windows和Program Files文件夹之外的目录和文件列表。选定的文件类别将使用勒索软件操作员的电子邮件地址和.encryptedJB扩展名重新命名，然后使用AES算法对文件内容进行加密。勒索软件还在桌面文件夹中创建了一个read_me.html文件，其中包含有攻击者的联系方式的勒索说明。

加密方法相当繁琐，并包含执行错误，使得加密的文件可以恢复。这一缺陷，加上在内部发现的政治信息和与HermeticWiper一致的部署时间，表明HermeticRansom很可能被用作分散注意力的工具，而不是勒索软件的敲诈企图。

APT组织:

Gamaredon (Primitive Bear, Armageddon)

攻击报道:

•2022年2月23日:hermeticulous ransom用于对乌克兰组织的网络攻击(来源:ESET)

IOCs ：

SHA256: 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382

IsaacWiper

正如ESET的分析所指出的，IsaacWiper从代码的角度来看与HermeticWiper完全不同，而且没有那么复杂。执行时，它列举物理驱动器和卷，用随机字节覆盖现有内容。如果一个卷的访问被拒绝，wiper会在这个目录中创建一个临时目录和文件。创建的目录名称将以字母 "Tmd "开头，文件以字母 "Tmf "开头；名称的其余部分将是随机生成的字母数字字符。然后，它将尝试用随机数据填充它，直到卷的空间用完。擦拭器还将它不能访问的文件重命名为临时名称，然后试图擦拭新重命名的文件。IsaacWiper创建了一个日志文件C:ProgramDatalog.txt.其中保存了破坏活动的进度。

APT组织:

• Gamaredon (Primitive Bear, Armageddon)

攻击报道:

2022年2月24日—ESET: IsaacWiper被用于对乌克兰政府组织的网络攻击。(来源:ESET)

IOCs ：

•SHA256:13037b749aa4b1eda538fda26d6ac41c8f7b1d02d83f47b0d187dd645154e033

AcidRain

正如SpiderLabs的分析所指出的，AcidRain在递归循环中用内存缓冲区中的随机数据覆盖文件和符号链接。如果wiper以root权限执行，则会避免使用某些目录，如' bin '、' dev '、' lib '、' proc '、' sbin '、' sys '和' usr '。同样的随机数据缓冲区和写操作用于擦除磁盘设备' /dev/sdX， '循环设备' /dev/loopX， '内存块设备' /dev/block/mtdblockX '和多媒体卡块设备' /dev/block/mmcblkX。'内存设备' /dev/mtdX '被使用MEMWRITEOOB ioctl来代替。擦拭完成后，会触发设备重启。

重建AcidRain的主要程序

2022年2月24日，战争开始的那一天，Viasat的KA-SAT网络遭到网络攻击，影响了乌克兰的数千名客户和欧洲各地的数万名客户。这次攻击的溢出导致德国5800台Enercon风力涡轮机的遥控失灵。据Viasat报道，攻击者利用Skylogic的VPN设备远程访问KA-SAT的网络管理网段。攻击者横向移动到一个特定的部分，用于操作网络，并同时对大量的家用调制解调器执行合法的、有针对性的管理命令。具体来说，这些破坏性命令会覆盖SurfBeam调制解调器闪存中的关键数据。

不久之后发现的AcidRain wiper，也是这种攻击模式的一个合理选择。在Reversemode博客中发表的对SurfBeam调制解调器固件的分析显示，有可能安装任意二进制文件，而不需要签名验证或完整的固件升级。此外，AcidRain的第一个Virustotal提交的样本与事件调查的时间框架和Skylogic Mediterraneo基础设施的位置一致。

第一份来自意大利的AcidRain样品提交给VirusTotal

IOCs:

•SHA256:9b4dfaca873961174ba935fddaf696145afe7bbf5734509f95feb54f3584fd9a

LoadEdge ( InvisiMole )

CERT-UA分析表明，本次活动中使用的wLoadEdge后门支持文件执行、上传、下载和删除、获取系统信息以及通过TCP端口1337交互反向shell等功能。

与C&C服务器的通信使用HTTP协议和JSON格式的数据，持久性由在Run注册表项下创建条目的HTA文件提供。

根据ESET的研究报告得出的结论，LoadEdge类似于InvisiMole的TCP下载组件的升级版本，用于下载称为RC2FM和RC2CL的后门模块，通常作为第一个有效载荷部署在新受损的计算机上。InvisiMole的RC2FM和RC2CL后门程序提供了扩展的监控功能，如屏幕、网络摄像头和麦克风捕捉、文件泄露、收集网络信息和已安装软件的信息。

APT组织:

• InvisiMole (UAC-0035 )

攻击报道:

• 2022年3月18日:LoadEdge被用于对乌克兰政府组织的电子邮件钓鱼攻击(来源:CERT-UA)

IOCs：

•SHA256:fd72080eca622fa3d9573b43c86a770f7467f3354225118ab2634383bd7b42eb

GraphSteel & GrimPlant

GraphSteel和GrimPlant的后门都是用Go语言编写的。正如BitDefender的报告所指出的，GrimPlant是一个简单的后门程序，允许远程执行PowerShell命令。与C2服务器的通信使用80端口，基于开源RPC框架gRPC。通信使用TLS加密，其证书用二进制硬编码。GrimPlant每10秒发送一个包含基本主机信息消息的心跳。

使用PowerShell执行从C2服务器接收到的命令，并报告结果。GraphSteel后门旨在从受感染的机器中窃取数据。与C&C服务器的通信端口为443，使用AES加密。通信使用GraphQL查询语言。文件从文档，下载，图片，桌面文件夹和所有可用的驱动器从D:到Z:。GraphSteel还可以窃取基本的系统信息、IP配置、wifi配置文件，并使用powershell从密码库窃取凭证。

APT组织:

• UNC2589 Ember Bear, Lorec53, UAC-0056)

攻击报道:

• 2022年4月26日:GraphSteel & GrimPlant被用于对乌克兰政府组织的电子邮件钓鱼攻击(来源:乌克兰)

• 2022年3月28日:GraphSteel & GrimPlant被用于对乌克兰政府组织的电子邮件钓鱼攻击(来源:乌克兰)

• 2022年3月11日:GraphSteel & GrimPlant被用于对乌克兰政府组织的电子邮件钓鱼攻击(来源:乌克兰)

IOCs for GraphSteel:

•SHA256:47a734e624dac47b9043606c8833001dde8f341d71f77129da2eade4e02b3878

•SHA256:8e77118d819681fdc49ce3362d8bfd8f51f8469353396be7113c5a8978a171f6

IOCs for GrimPlant:

•SHA256:aca731d34c3e99d07af79847db369409e92e387520e44285608f18877b3a1d79

DoubleZero

DoubleZero是一个。net雨刷恶意软件。我们的分析表明，如果该计算机是域控制器，执行将立即停止，否则它将枚举挂载到该计算机的所有驱动器，并使用零块覆盖文件，除了系统位置的特定硬编码列表。然后，清除器继续销毁系统文件。最后，负责在系统上执行安全政策的“Isass”进程被终止，HKLM、HKCU和HKU注册表的所有子键都被销毁。一旦所有的破坏活动完成，刮水器将关闭系统。

攻击报道:2022年3月22日:DoubleZero被用于对乌克兰企业的网络攻击(来源:CERT-UA)

IOCs：

•SHA256:d897f07ae6f42de8f35e2b05f5ef5733d7ec599d5e786d3225e66ca605a48f53

CaddyWiper

正如Cisco Talos的顾问所指出的那样，CaddyWiper可以动态地解决大多数用于提高检测和分析难度的ap。如果机器是域控制器，CaddyWiper的执行将立即停止，否则恶意软件将试图销毁“C:Users”上的文件，随后清除所有可用的驱动器从D:I到Z:1。这意味着连接到系统的任何网络映射驱动器也可能被清除。它从文件开始擦除最多10MB的块，这可能是性能优化的一部分。接下来，清理器试图清除损坏主引导记录(MBR)的每个物理驱动器和驱动器分区的扩展信息。

APT组织:

• Sandworm (Black Energy, UAC-0082)

攻击报道:

• 2022年3月14日:CaddyWiper被用于针对乌克兰能源供应商的网络攻击(来源:CERT-UA)

• 2022年3月14日:caddywipe被用于对乌克兰组织的网络攻击(来源:ESET)

IOCs：

•SHA256:a294620543334a721a2ae8eaaf9680a0786f4b9a216d75b55cfd28f39e9430ea

AwfulShred, SoloShred

AwfulShred和SoloShred是恶意的shell脚本，旨在破坏Linux系统。我们的分析表明，这两个脚本的破坏活动都依赖于一个带有一次覆盖传递的撕碎命令，选择它来增加数据破坏。AwfulShred也是模糊的，它的功能有些复杂。在清除数据之前，它禁用并破坏Apache、HTTP和SSH服务，停用交换文件，并清除bash历史记录。最后，会触发系统重新启动，使目标主机无法操作。

APT组织:

• Sandworm (Black Energy, UAC-0082)

攻击报道:

• 2022年4月8日:AwfulShred和SoloShred被用于针对乌克兰能源供应商的有针对性的网络攻击(来源:乌克兰)

IOCs for AwfulShred:

•SHA256:bcdf0bd8142a4828c61e775686c9892d89893ed0f5093bdc70bde3e48d04ab99

IOCs for SoloShred:

•SHA256:87ca2b130a8ec91d0c9c0366b419a0fce3cb6a935523d900918e634564b88028

Industroyer2

industrier2是一款针对工业控制系统(ICS)的复杂恶意软件。正如Nozomi Networks的分析所指出的，它特别滥用了电力控制系统中使用的IEC 60870-5-104 (IEC 104)协议。与它的前身Industroyer不同，industroer2是一个独立的可执行文件，由一个后门、加载器和几个负载模块组成。它唯一的特点是通过中断输电变电站的运行造成电力中断。

一旦执行，industryer2尝试终止负责IEC 104服务通信的合法进程:PServiceControl.exe和PService_PPD.exe，然后通过添加"MZ"文件扩展名，并开始与输电变电站进行IEC 104交互，中断断路器操作。变电站的IP地址和端口被发现是硬编码的，这意味着攻击者对他们的目标至少有有限的了解。

APT组织:

• Sandworm (Black Energy, UAC-0082)

攻击报道:

• 2022年4月8日:industrroyer2被用于针对乌克兰能源供应商的有针对性的网络攻击(来源:CERT-UA)

IOCs：

•SHA256:c84bbfce14fdc65c6e738ce1196d40066c87e58f443e23266d3b9e542b8a583e

CredoMap

CredoMap是威胁行为者APT28使用的一个.NET凭证窃取器。CredoMap从Chrome、Edge和Firefox浏览器中窃取cookies和存储密码。根据不同的版本，被盗数据会通过电子邮件或HTTP POST请求渗出到网络后端。

APT组织:

• APT28 (Fancy Bear, Sofacy, UAC-0028)

攻击报道:

2022年4月11日:发现针对乌克兰用户的CredoMap恶意软件(来源:谷歌TAG)
2022年5月6日:CredoMap被用于电子邮件钓鱼攻击(来源:CERT-UA)
2022年6月20日:CVE-2022-30190 (Follina)武器化RTF下载CredoMap恶意软件发现(来源:CERT-UA)

IOCs：

•SHA256:710faabf217a5cd3431670558603a45edb1e01970f2a8710514c2cc3dd8c2424

DarkCrystal RAT

DarkCrystal RAT或DCRat是一个商业的俄罗斯。net后门，可以在地下论坛购买，主要用于监视受害者，并从受攻击的主机窃取数据;DCRat支持监控使用屏幕和摄像头捕获，键盘记录以及文件和凭证盗窃。其他有趣的功能包括使用注册表的持久性、窃取剪贴板内容、命令执行和DOS攻击功能。DCRat使用GET和POST请求通过HTTP与C2服务器通信。

DarkCrystal RAT（DCRat）出现在2019年初。在其运行期间，该RAT得到了很多追随者和客户。该恶意软件因各种插件而广为人知，包括偷窃器、隐藏远程桌面、文件管理器和匿名操作（通过TOR代理）。该软件以订阅的方式分发：两个月600卢布（约9.5美元），一年2500卢布（约39美元），终身订阅将花费你4500卢布（约70美元）。

DCRat代码至少从2021年3月开始在GitHub上提供。RAT的多功能性、其能力和低廉的价格使它如此受欢迎，甚至连政府附属组织都选择它进行操作。

攻击报道:

2022年6月24日:DCRat被用于乌克兰电信运营商的电子邮件钓鱼攻击(来源:CERT-UA)．
2022年6月10日:Crescentlmp和DCRat被用于对乌克兰媒体机构进行大规模电子邮件钓鱼攻击(来源:乌克兰)

IOCs：

•SHA256:c84bbfce14fdc65c6e738ce1196d40066c87e58f443e23266d3b9e542b8a583e

Cobalt Strike

Cobalt Strike是一款商业渗透测试工具，允许攻击者在目标机器上部署名为“Beacon”的后门代理。虽然它主要是为红队设计的，但它被广泛的威胁行为者使用，从勒索软件运营商到APT组下载和执行恶意载荷。Beacon植入是无文件的，因为它由无阶段或多阶段的壳代码组成，这些壳代码是通过利用漏洞或执行壳代码加载器加载的。与C&C服务器的通信支持多种协议，包括HTTP、HTTPS、DNS、SMB、命名管道以及经过广泛修改的正向和反向TCP。连接也可以通过链接信标来建立。一旦攻击者获得了对受损网络内单个系统的访问权，它就可以被用来在内部转向其他系统。

APT组织:

• UNC2589 (Ember Bear, Lorec53, UAC-0056)

• Other

攻击报道:

• 2022年7月7日:Cobalt Strike被用于对乌克兰政府组织进行电子邮件钓鱼攻击。un2589 APT攻击(来源:CERT-UA)

• 2022年7月5日:Cobalt Strike被用于对乌克兰政府组织进行电子邮件钓鱼攻击。un2589 APT攻击(来源:CERT-UA)

• 2022年6月2日:Cobalt Strike，利用CVE-2021-40444和CVE-2022-30190 (Follina)漏洞对乌克兰政府组织进行电子邮件钓鱼攻击(来源:CERT-UA)

• 2022年4月18日:Cobalt Strike被用于对乌克兰政府组织的电子邮件钓鱼攻击(来源:CERT-UA)

• 2022年3月23日:Cobalt Strike被用于对乌克兰政府组织的网络攻击(来源:CERT-UA)。un2589 APT攻击(来源:CERT-UA)

结论

毫无疑问，先进的网络武器是现代军队武器库中的关键工具，未来全球网络战的数量可能会增加。

首先，随着连接到网络的设备数量不断增加，攻击面变得巨大，增加了网络战的潜在用例。