卡巴斯基实验室发现了知名的说俄语的APT攻击组织Crouching Yeti(又被称为Energetic Bear)所使用的基础设施。这些基础设施包括大量遍及全球的被入侵服务器。根据研究,自2016年以来,不同国家的众多服务器遭受攻击,有时候这些攻击是为了获取其他资源。其他还包括一些托管俄罗斯网站的服务器,被用作水坑。
Crouching Yeti是一个说俄语的高级可持续威胁(APT)组织,卡巴斯基实验室从2010年就开始追踪该攻击组织。该组织以针对全球工业设施攻击而闻名,其主要关注能源设施。攻击的主要目的是从受害者系统中窃取有价值的数据。该攻击组织使用最广泛的攻击技巧是水坑攻击:攻击者在网站上注入一个链接,将访问者重定向到恶意服务器。
最近,卡巴斯基实验室发现大量被该攻击组织入侵的服务器,这些服务器属于俄罗斯、美国、土耳其和欧洲国家不同组织,而且不限于工业企业。据研究人员称,它们是在2016年和2017年被入侵的,而且入侵的目的各不相同。所以,除了被用作水坑外,它们有时候还被用作中间人对其他资源进行攻击。
分析受感染服务器过程中,研究人员发现大量攻击者利用多种工具扫描过的俄罗斯、美国、欧洲、亚洲和拉丁美洲组织使用的网站和服务器,这样做的目的很可能是寻找可用于建立立足点的服务器,用于托管攻击者的工具并随后发起攻击。一些被扫描的网站可能是攻击者感兴趣的水坑候选。吸引攻击者注意的网站和服务器范围非常广,卡巴斯基实验室研究人员发现攻击者扫描了大量各种类型的网站,包括在线商店和服务、公共组织、非政府组织以及制造企业网站。
此外,安全专家还发现该组织使用了可公开获取的用于分析服务器的恶意工具来查找和收集信息。另外,还发下了一个被修改的预装后门程序的sshd文件。该文件是用来替换原始文件的,可以通过“主密码”进行授权。
“Crouching Yeti是一个臭名昭彰的说恶意的攻击组织,该组织已经活跃多年,而且仍然在通过水坑攻击对工业机构进行攻击。我们的发现显示,该组织入侵服务器的目的不仅仅是进行水坑攻击,还用于进一步扫描,而且他们会积极使用开源工具进行扫描,使得事后很难发现他们的踪迹,”卡巴斯基实验室ICS CERT漏洞研究小组负责人Vladimir Dashchenko说。
“该攻击组织的很多行为如初始的数据收集、验证数据盗窃以及资源扫描都是为了实施进一步攻击。该组织感染的服务器和扫描资源的多样性表明,表明其可能为第三方的利益而运作,”他补充说。
卡巴斯基实验室建议企业和组织部署全面的框架来抵御高级威胁,这些框架包括专门检测针对性攻击和进行事故响应的安全解决方案,同时还要采用专家服务和威胁情报服务。作为卡巴斯基威胁管理和防御的一部分,我们的反针对性攻击平台能够通过分析可疑的网络行为,在早期检测到攻击,而卡巴斯基EDR则带来提升的端点可见性、调查能力和自动化响应。全球威胁情报和专注于威胁追踪和事故响应的卡巴斯基实验室专家服务更是增强了这些功能。
更多有关Crouching Yeti最新行为的详情,请访问卡巴斯基实验室ICS CERT网站。
