研究人員警告說，威脅行為者正在劫持印度人權(quán)律師、活動(dòng)家和維權(quán)者的設(shè)備，植入有罪的證據(jù)以準(zhǔn)備逮捕他們。

這位被稱為ModifiedElephant的攻擊者已經(jīng)從事這項(xiàng)工作至少10年了，現(xiàn)在仍然很活躍。據(jù)SentinelLabs研究人員稱，自2012年以來，甚至更早，它一直在跟蹤數(shù)百個(gè)團(tuán)體和個(gè)人，其中一些是反復(fù)跟蹤的。

操作員不是我們所謂的技術(shù)天才，但這并不重要。SentinelOne的威脅研究員Tom Hegel在周三的一篇文章中表示，高級(jí)持續(xù)威脅(APT)組織——可能與商業(yè)監(jiān)控行業(yè)有關(guān)——一直在使用市場(chǎng)上可買到的遠(yuǎn)程訪問特洛伊木馬(RATs)等基本黑客工具混日子。

APT使用魚叉式網(wǎng)絡(luò)釣魚來誘捕受害者，通過偽造文件傳播惡意軟件。

黑格爾寫道，該組織首選的惡意軟件包括NetWire、DarkComet和簡(jiǎn)單的鍵盤記錄器，“它們的基礎(chǔ)設(shè)施重疊，使我們能夠連接以前長(zhǎng)期未歸因的惡意活動(dòng)”。

就拿DarkComet RAT來說，它被用于政治攻擊的時(shí)間至少和ModifiedElephant從事犯罪活動(dòng)的時(shí)間一樣長(zhǎng)。2012年，其作者在發(fā)現(xiàn)敘利亞政府利用DarkComet攻擊反政府活動(dòng)分子后，放棄了開發(fā)和銷售。

陳舊的工具

SentinelOne的威脅研究員、約翰霍普金斯大學(xué)高級(jí)國(guó)際關(guān)系學(xué)院的兼職教授Juan Andrés Guerrero-Saade通過Twitter說：“可以說，這一行動(dòng)的機(jī)制是多么普通?！薄皭阂廛浖词莄ustom垃圾，要么是commodity垃圾。從技術(shù)上講，這個(gè)威脅行為者沒有任何令人印象深刻的東西，相反，我們對(duì)他們的膽大妄為感到驚訝?！?/p>

事實(shí)上，ModifiedElephant使用舊的Visual Basic鍵盤記錄器，“在技術(shù)上一點(diǎn)也不令人印象深刻”，黑格爾寫道，并指出整體鍵盤記錄器結(jié)構(gòu)類似于2012年意大利黑客論壇上免費(fèi)提供的代碼。記錄器甚至都無法工作了，因?yàn)榈剿鼈兪恰耙匀绱舜嗳醯姆绞浇ㄔ斓摹薄?/p>

ModifiedElephant還與 NetWire 特洛伊木馬一起，發(fā)送了一個(gè)Android特洛伊木馬有效payload，以APK文件(0330921c85d582deb2b77a4dc53c78b3)的形式交付。Android木馬試圖通過偽裝成新聞應(yīng)用程序或安全的消息工具來誘騙收件人自行安裝惡意軟件。

下面是ModifiedElephant的網(wǎng)絡(luò)釣魚電子郵件示例，其中包括NetWire和Android特洛伊木馬變種的附件。

研究人員表示，Android特洛伊木馬似乎被設(shè)計(jì)成一種用于更廣泛網(wǎng)絡(luò)犯罪的多用途黑客工具。但它與NetWire同時(shí)交付的事實(shí)意味著同一個(gè)攻擊者正試圖針對(duì)整個(gè)范圍內(nèi)的受害者，從終端和移動(dòng)設(shè)備上獲取他們。

據(jù)SentinelLabs稱，該木馬使攻擊者能夠攔截和管理SMS和呼叫數(shù)據(jù)、擦除或解鎖設(shè)備、執(zhí)行網(wǎng)絡(luò)請(qǐng)求以及執(zhí)行遠(yuǎn)程管理：換句話說，它是一個(gè)基本的、理想的、低成本的移動(dòng)監(jiān)控工具包。

證據(jù)篡改

ModifiedElephant植入罪證文件的一個(gè)例子是Ltr_1804_to_cc.pdf，其中詳細(xì)說明了針對(duì)印度總理納倫德拉·莫迪的暗殺陰謀。阿森納咨詢公司的數(shù)字分析表明，該文件是警方查獲的最有罪的數(shù)據(jù)之一，是通過與ModifiedElephant相關(guān)的NetWire RAT遠(yuǎn)程會(huì)話傳遞的眾多文件之一。

根據(jù)SentinelLabs的詳細(xì)報(bào)告，“進(jìn)一步的分析顯示ModifiedElephant是如何在大約15分鐘內(nèi)跨多個(gè)不相關(guān)的受害者系統(tǒng)執(zhí)行幾乎相同的證據(jù)創(chuàng)建和組織”。

Guerrero-Saade發(fā)推文說，如果威脅行為者篡改證據(jù)的概念聽起來很熟悉，那可能是因?yàn)镸odifiedElephant的策略具有優(yōu)先權(quán)。

幾個(gè)月前，SentinelOne報(bào)道了EGoManiac，這是一個(gè)與Octopus類似的威脅行為者，它是一個(gè)土耳其網(wǎng)絡(luò)(例如，它的惡意軟件包含土耳其語，它的誘餌是用土耳其語編寫的，它的受害者是土耳其人并且與當(dāng)?shù)卣位顒?dòng)有關(guān))。

在那次活動(dòng)中，Arsenal Consulting的數(shù)字取證顯示，在土耳其國(guó)家警察沒收他們的機(jī)器之前，威脅者在土耳其在線新聞門戶OdaTV工作的記者系統(tǒng)中植入了犯罪文件。偽造的文件后來被用作恐怖主義的證據(jù)和監(jiān)禁記者的理由。

SentinelOne的黑格爾在周三的帖子中指出：“一個(gè)愿意陷害和監(jiān)禁易受攻擊的對(duì)手的威脅行為者，在網(wǎng)絡(luò)威脅領(lǐng)域中被嚴(yán)重低估了，它對(duì)作為證據(jù)引入的設(shè)備的完整性提出了令人不安的問題?！?/p>

通過分析EGoManiac的入侵，SentinelLab將十年來的惡意活動(dòng)的歸咎于一個(gè)以前未知的威脅行為者——ModifiedElephant。

黑格爾說：“這個(gè)威脅活動(dòng)已經(jīng)運(yùn)作多年，由于他們的行動(dòng)范圍有限、他們工具的普通性質(zhì)以及他們針對(duì)目標(biāo)的區(qū)域性，他們逃避了研究的關(guān)注和檢測(cè)?！备匾氖?，它仍在積極瞄準(zhǔn)受害者。

被害人心理學(xué)

ModifiedElephant的目標(biāo)是長(zhǎng)期監(jiān)視，有時(shí)會(huì)導(dǎo)致在Hegel所說的“方便的協(xié)調(diào)逮捕”之前，提供捏造的“證據(jù)”，把目標(biāo)和具體的犯罪聯(lián)系起來，比如OdaTV記者Bar?? Pehlivan和Müyesser Y?ld?z使用的設(shè)備上的文件。

研究人員已經(jīng)確定了數(shù)百個(gè)ModifiedElephant網(wǎng)絡(luò)釣魚活動(dòng)的目標(biāo)群體和個(gè)人：他們主要是印度的活動(dòng)家、人權(quán)捍衛(wèi)者、記者、學(xué)者和法律專業(yè)人士。

APT主要使用武器化的Microsoft Office文件來傳遞威脅行為者目前偏愛的任何惡意軟件——這種偏好會(huì)隨著時(shí)間的推移而變化，具體取決于目標(biāo)。

研究人員說，這是該組織多年來的發(fā)展歷程：

• 2013年年中：攻擊者使用了帶有假雙擴(kuò)展名(filename.pdf.exe)的可執(zhí)行文件附件的網(wǎng)絡(luò)釣魚電子郵件。
• 2015年后：攻擊者轉(zhuǎn)向包含公開可利用漏洞的不太明顯的文件，例如.doc、.pps、.docx、.rar和受密碼保護(hù)的.rar文件。這些嘗試涉及.pdf、.docx和.mht格式的合法誘餌文檔，以吸引目標(biāo)的注意力，同時(shí)執(zhí)行惡意軟件。
• 2019年：ModifiedElephant運(yùn)營(yíng)商采用網(wǎng)絡(luò)釣魚活動(dòng)，將鏈接懸掛到外部托管文件，供目標(biāo)手動(dòng)下載和執(zhí)行。
• 2020年：正如國(guó)際特赦組織和Citizen Lab所記錄的那樣，在一次針對(duì)9名人權(quán)維護(hù)者的協(xié)同間諜軟件攻擊中，運(yùn)營(yíng)商還利用大型.rar檔案(最大300MB)，可能是為了繞過檢測(cè)。

SentinelLabs發(fā)現(xiàn)，他們反復(fù)分析的誘餌文件利用了多年來被多次使用的漏洞——CVE-2012-0158、CVE-2014-1761、CVE-2013-3906和CVE-2015-1641——投放并執(zhí)行惡意軟件。黑格爾說，魚叉式網(wǎng)絡(luò)釣魚電子郵件和誘餌使用與目標(biāo)相關(guān)的標(biāo)題和主題，“例如激進(jìn)主義新聞和團(tuán)體、全球和地方氣候變化事件、政治和公共服務(wù)?！?/p>

下面是另一個(gè)網(wǎng)絡(luò)釣魚示例：

政府的批評(píng)者要當(dāng)心了

SentinelOne警告說，它只查看了ModifiedElephant潛在目標(biāo)全部列表中的“一小部分”，即威脅行為者的技術(shù)和目標(biāo)。

還有很多工作要做，還有很多問題有待解答。但有一點(diǎn)很清楚，研究人員說：“世界各地威權(quán)政府的批評(píng)者必須仔細(xì)了解那些試圖壓制他們的人的技術(shù)能力?！?/p>

本文翻譯自：https://threatpost.com/cybercrooks-frame-targets-plant-incriminating-evidence/178384/如若轉(zhuǎn)載，請(qǐng)注明原文地址。