區塊鏈安全諮詢公司 曲速未來 訊息：一個新的高階威脅行動者現在在敵人的公共地圖上，目標是關鍵基礎設施部門的系統。名稱是GreyEnergy，它顯示與BlackEnergy組的相似之處。

GreyEnergy惡意軟體目前沒有破壞性功能，它似乎專注於執行SCADA軟體和伺服器的工業控制系統工作站上的間諜和偵察操作，很可能為破壞性攻擊做準備。

但是，它具有模組化架構，這意味著它的功能可以進一步擴充套件。

安全研究人員觀察到的外掛提供了諸如後門訪問，檔案洩露，抓取螢幕截圖，記錄擊鍵和竊取憑據等功能。

用於惡意目的的合法工具

安全研究人員注意到，最初的攻擊階段使用了不同的惡意軟體，他們稱之為“GreyEnergy mini”-也稱為FELIXROOT，它不需要管理員許可權。

​

它的任務是對映網路並收集憑據，使主要惡意軟體具有完全控制網路所需的許可權。Nmap和Mimikats是為安全研究目的而設計的免費工具。

​

使用的其他合法工具包括SysInternals PsExec和WinExe，用於在受損網路中執行橫向移動。

​

與BlackEnergy和TeleBots的連結

自2015年以來，研究人員一直在追蹤GreyEnergy，當時發現它針對波蘭的一家能源公司。還認為它是BlackEnergy的繼任者，並且還發現了與2017年NotPetya攻擊而聞名的TeleBots威脅組織的聯絡。

​

BlackEnergy威脅演員負責 在網路攻擊中使用同名惡意軟體和KillDisk導致2015年12月在烏克蘭停電。

​

“過去三年，已經看到GreyEnergy參與了對烏克蘭和波蘭的能源公司和其他高價值目標的攻擊。”負責該研究的高階安全研究員說。

​

除了兩者同時出現之外，還觀察到GreyEnergy與TeleBots子組之間的另一個連結。2016年12月，就注意到GreyEnergy部署早期版本的TeleBots的NotPetya蠕蟲病毒的例項-在改變，改進和部署歷史上最具破壞性的勒索軟體爆發前半年。此勒索軟體元件與GreyEnergy核心模組之間存在大量程式碼重用。然後稱這個早期版本為“Moonraker Petya”，基於惡意軟體編寫者對檔名的選擇-很可能是對詹姆斯邦德電影的引用。它沒有臭名昭著的EternalBlue傳播機制，因為它當時沒有洩露。

​

專為隱身操作而設計

觀察到兩種不同的感染媒介：“傳統的”魚叉式網路釣魚，以及面向公眾的網路伺服器的妥協。當這種易受攻擊的Web伺服器在內部託管並連線到目標組織網路的其餘部分時，攻擊者將嘗試橫向移動到其他工作站。該技術不僅用作主要感染載體，還用作備用再感染載體。

​

Stealth似乎是GreyEnergy的主要屬性之一，因為它的命令和控制（C2）伺服器僅與受感染網路上的特定計算機進行通訊，這些計算機充當受感染工作站的代理。

​

在Duqu中可以看到這種操作方式，它被設計用於隱藏間諜活動，因為受感染的計算機與將資訊中繼到C2的內部伺服器進行通訊，而不是外部系統，這將是一個紅旗。值得注意的是，C2伺服器充當Tor中繼。

​

​

其中在一個惡意軟體樣本中發現了一個有趣的發現，該惡意軟體使用證書進行數字簽名，該證書是使用臺灣工業和物聯網硬體製造商研華的證書籤署的。這些很可能是從公司偷來的，就像Stuxnet和最近的Plead惡意軟體活動一樣。

​

由於發現使用完全相同的證書來簽署Advantech的乾淨，非惡意軟體，所以認為該證書很可能被盜。值得注意的是，發現的樣本沒有副簽名，這意味著數字簽名證書的有效期屆滿後，該證書無效，

​

惡意軟體可以持久化或不持久化

區塊鏈安全諮詢公司 曲速未來 表示：GreyEnergy根據其滲透的機器型別部署其惡意軟體。據研究，一種方法是在系統記憶體中執行惡意軟體。選擇此方法的伺服器具有較長的正常執行時間，重新啟動很少。

目標的第二類系統是惡意軟體需要永續性的系統，因為更高的重啟可能性。在這種情況下，將選擇現有服務並新增新的ServiceDLL登錄檔項。此方法可能會破壞系統，並且為了避免這種結果，惡意軟體刪除程式需要執行篩選過程以搜尋滿足一組要求的服務。

研究人員表示，GreyEnergy的目的是深入滲透到目標網路並收集資訊。與TeleBots不同，它不屬於破壞行業，但這並不排除破壞效能力在某一時刻可用的可能性。

但可以肯定的是，“對於GreyEnergy負責的威脅演員在他們的堅持和隱身方面極其危險。”研究人員總結道。