Waterbug间谍组织不断扩充其武器库，还劫持了Oilrig黑客组织的基础设施

Waterbug间谍组织（又名Turla），是迄今为止最为高级的威胁组织之一，与俄罗斯政府的关系密切（该组织成员均说俄语）。自2007年以来，Waterbug一直处于活跃状态，并制造了许多轰动一时的大事件，比如2008年的Buckshot Yankee事件中攻击了美国中央司令部。这些年被Waterbug染指的组织不计其数，包括乌克兰、欧盟各国政府以及各国大使馆、研究和教育组织以及制药、军工企业等。

近段时间，Waterbug仍在持续对政府和国际组织开展着行动，除了 工具 变得越多越全之外，另一个值得关注的地方是，他们在一场行动中劫持了Crambus（又名OilRig，APT34）间谍组织的基础设施，可能意味着两个组织间存在的关联性。

三波攻击

最近Waterbug的行动可以分为三波，对它们进行区分的方式主要是依据工具集上的不同。其中一项行动中，有一个名为Neptun、之前从未见过（ Backdoor.Whisperer ）的新后门。Neptun安装在Microsoft Exchange服务器上，用于被动侦听来自攻击者的命令，这种被动侦听功能使恶意软件更难以检测。Neptun还能够下载其他工具，上传被盗文件和执行 shell 命令。此次行动期间的一次攻击还用到了属于另一个名为Crambus）的间谍组织的基础设施。

第二项行动则使用了Meterpreter，一个公开的后门，两个自定义加载器，还有两个自定义后门，一个名为photobased.dll，另一个则是远程过程调用（RPC）后门。Waterbug至少从2018年初开始使用Meterpreter，并且在此行动中使用了Meterpreter的修改版本，该版本经过编码并带有.wav的扩展名以掩盖其真正目的。

第三项行动使用的RPC后门与第二项行动中使用的有所差异，此后门程序使用从公共可用的 PowerShellRunner工具 派生的代码来执行PowerShell脚本，而无需使用powershell.exe。此工具旨在绕过恶意PowerShell识别检测。在执行之前，PowerShell脚本以base64编码存储在注册表中。这样做可能是为了避免将它们写入文件系统。

图1. Waterbug组织在三波攻击中使用的工具集

工具集

可以看出，Waterbug进化速度很快，最近的行动涉及到对大量新工具的使用，包括自定义恶意软件，公开可用的黑客工具的修改版本以及合法的管理工具，还用到了PowerShell脚本和PsExec（一种用于在其他系统上执行进程的Microsoft Sysinternals工具）。

除了上面提到的工具之外，Waterbug还部署了：

·一种新的自定义dropper，通常用于将Neptun作为服务安装。

· 一个自定义黑客工具，它将方程式组织（Equation Group）泄露的四个工具（EternalBlue，EternalRomance，DoublePulsar，SMBTouch）组合成一个可执行文件。

· 一个USB数据收集工具，用于检查连接的USB驱动器并窃取某些特定类型的文件，并将其加密为RAR文件，然后使用WebDAV上传到Box云端硬盘。

· 多个Visual Basic脚本，在初始感染后执行系统侦察，并将信息发送回Waterbug命令和控制服务器。

· 多个PowerShell脚本，用于从Windows Credential Manager处执行系统侦察和凭据窃取的工作，然后将信息发送回C＆C。

· 还有多个公开可用的工具，如IntelliAdmin用于执行RPC命令，SScan和NBTScan用于网络侦察，PsExec用于执行和横向移动，Mimikatz（Hacktool.Mimikatz）用于凭证盗窃，Certutil.exe用于下载和解码远程文件。

攻击目标

除了以IT和教育部门为目标之外，最近这三波Waterbug行动已经对全球范围政府和国际组织造成了严重破坏。自2018年初以来，Waterbug已经攻击了10个不同国家的13个组织，包括：

· 拉美国家的外交部

· 中东国家外交部

· 欧洲国家的外交部

· 南亚国家内政部

· 中东国家的两个身份不明的政府组织

· 东南亚国家的一个身份不明的政府组织

· 位于另一个国家的某南亚国家的政府办公室

· 中东国家的信息和通信技术组织

· 两个欧洲国家的两个信息和通信技术组织

· 南亚国家的信息和通信技术组织

· 中东国家的跨国组织

· 南亚国家的教育机构

劫持基础设施

在Waterbug最近的一起行动中，发生了一件有趣的事。此次行动是对中东的一个目标进行攻击，Waterbug似乎劫持了Crambus间谍组织的基础设施并用它将恶意软件传送到受害者的网络。此次事件将Crambus和Waterbug与不同的民族国家联系起来。虽然这两个组织可能已经合作，但赛门铁克表示没有发现任何进一步证据能支持这一点。Waterbug使用Crambus基础设施更像是一种恶意劫持，但奇怪的是，Waterbug还使用自己的基础设施对受害者网络上的其他计算机进行破坏。

此次攻击中，Mimikatz的定制版本从Crambus的基础设施下载到了受害者网络的计算机上，下载过程是通过Powruner工具和Poison Frog控制面板进行的。多方都曾认为此基础设施和Powruner工具与Crambus密不可分。最近在与Crambus有关的 泄露文件 中也提到了这两点。

赛门铁克认为，这次袭击中使用的Mimikatz变种是Waterbug独有的。它经过了大量修改，除了sekurlsa :: logonpasswords凭证窃取功能外，几乎所有原始代码都删除了。Waterbug经常对公开的工具进行大量修改，而Crambus则不是。

Mimikatz的变种由一个自定义程序进行封装，该封装程序以前没有在其它恶意软件中见到过，Mimikatz的第二个定制变体和用于Neuron服务（Trojan.Cadanif）的dropper中都用到了该封装器。它在dropper中的使用使我们得出结论，这种定制封装器是Waterbug独家使用的。此外，这个版本的Mimikatz是使用Visual Studio和公共可用的bzip2库编译的，并非唯一，之前的其他Waterbug工具已经使用过它。

除了涉及Crambus基础设施的攻击之外，这个Mimikatz样本仅被用于2017年针对英国教育目标的另一次攻击。当时，Mimikatz被一个已知的Waterbug工具所取代。

在袭击中东目标的案件中，Crambus是第一个侵入受害者网络的群体，最早的活动证据可以追溯到2017年11月。2018年1月11日，第一次出现了Waterbug活动的证据，当时Waterbug关联工具（名为msfgi.exe的任务调度程序）被植入到受害者网络上的计算机上。第二天，即1月12日，前面提到的Mimikatz变种从一个已知的Crambus C＆C服务器下载到同一台计算机上。受害者网络上的另外两台计算机在1月12日被Waterbug工具攻陷，但没有证据表明在这些攻击中使用了Crambus基础设施。虽然其中一台计算机之前曾被Crambus攻击过，但另一台计算机没有出现Crambus入侵的迹象。

图2. Waterbug可能劫持了Crambus的C＆C网络基础设施

Waterbug在2018年的大部分时间都在对受害者网络进行持续入侵。2018年9月5日，类似的Mimikatz变种被Waterbug的Neptun后门放到了网络上的另一台计算机上。大约在同一时间，在受害者的网络上看到了其他Waterbug恶意软件，在与已知的Waterbug C＆C服务器进行通信。

最后，在受害者的网络上出现了一个名为IntelliAdmin的合法系统管理工具，使这个问题变得更加复杂。众所周知，这个工具已被Crambus使用。然而，在本例中，IntelliAdmin被自定义的Waterbug后门(包括新识别的Neptun后门)植入到了没有受到Crambus入侵的计算机上。

这一事件留下了许多悬而未决的问题，主要与Waterbug使用Crambus基础设施的动机有关。有几种可能性：

1、伪旗行动：Waterbug确实有通过伪旗行动来迷惑调查人员的记录。但是也有疑点，就是行动中也用到了可以追溯到Waterbug的工具，而且为什么要使用Waterbug自己的基础设施与受害者网络上的其他机器进行通信。

2、某种入侵手段：Waterbug可能在破坏目标组织之前，发现Crambus已经破坏了网络，就劫持了Crambus的基础设施来作为获取访问权的手段。赛门铁克并没有观察到最初的接入点，受害者网络上观察到的Waterbug活动与Crambus基础设施使用之间的时间间隔较为紧密，这表明Waterbug可能使用Crambus基础设施作为初始接入点。

3、该Mimikatz变种属于Crambus：Crambus基础设施下载的Mimikatz版本有可能是由Crambus开发的。然而，编译技术与Waterbug的痕迹都与这一假设相悖。

4、趁机扰乱：Waterbug可能一开始并没有计划假旗行动，但在准备攻击时发现了Crambus的入侵，借机进行攻击，希望扰乱受害者或调查人员的思维。根据最近泄露的Crambus内部文件可知，其Poison Frog控制面板很容易受到攻击，这意味着Waterbug劫持Crambus的基础设施可能只是一个相对微不足道举措。卡巴斯基的研究人员曾在2017年的一份 白皮书 中讨论过，一个威胁组织通过另一个威胁组织的基础设施进行入侵的案例。

其余行动

在过去的一年里，Waterbug还发起了另外两场行动，每一场都有各自的工具。这些行动范围广泛，在欧洲、拉丁美洲和南亚都达到了目标。

在第一个行动中，Waterbug使用了两个版本的自定义加载器javavs.exe(64位)和javaw .exe(32位)来加载一个名为photobase .dll的自定义后门，并在受害者的计算机上运行导出函数GetUpdate。后门将修改Windows Media Player的注册表以存储其C＆C配置。它还重新配置Microsoft Sysinternals注册表以防止在运行PsExec工具时弹出窗口。后门具有下载和上载文件，执行shell命令以及更新其配置的功能。

javaws.exe加载程序还用于运行另一个名为tasklistw.exe的加载程序。攻击者使用它来解码和执行将Meterpreter下载到受感染计算机的一系列恶意可执行文件。

攻击者还安装了另一个后门，该后门通过命名管道cmd_pipe运行命令shell。这两个后门都允许攻击者执行各种命令，从而完全控制受害者的系统。Waterbug还使用了较老版本的PowerShell，可能是为了避免日志记录。

在第二次行动中，Waterbug使用了一个完全不同的后门，名为securlsa.chk。此后门可以通过RPC协议接收命令。其功能包括：

· 通过cmd.exe执行命令，并将输出重定向到临时文件中

· 读取临时文件中包含的命令输出

· 读或写任意文件

此RPC后门还包括源自PowerShellRunner工具的源代码，该工具允许用户在不执行powershell.exe的情况下运行PowerShell脚本，因此用户可以绕过旨在识别恶意PowerShell使用情况的检测。

虽然两个行动在初始阶段都涉及不同的工具，但也有许多相似之处。两者的特点是使用自定义恶意软件和公开可用工具的组合。此外，在两个活动期间，Waterbug几乎同时执行了多个payload，如果防御者发现并移除了其中一个后门，还是不是中断攻击者的访问。

Waterbug采取了几个步骤来避免被发现。它将Meterpreter命名为WAV文件类型，还使用GitHub作为入侵后下载工具的存储库。由于GitHub是一个广受信任的网站，它使用Certutil.exe从存储库下载文件，这是一种用于远程下载的应用程序白名单绕过技术。

在其中一个行动中，Waterbug使用USB窃取器扫描可移动存储设备，以识别和收集感兴趣的文件。然后它将被盗文件打包到受密码保护的RAR存档中。然后，恶意软件使用WebDAV将RAR存档上载到Box帐户。

悬而未决的问题

这是赛门铁克首次观察到一个攻击组织（可能）劫持并使用了另一个组织的基础设施。然而，目前仍难以确定攻击背后的动机。究竟Waterbug只是抓住了这次攻击的机会制造了混乱，还是涉及了更多的战略思考，目前还不得而知。

Waterbug不断变化的工具集也展示了该组织高度的适应性，保持领先于目标才能减少被发现的风险，而频繁的装备更新和对假旗战术的偏好也使得这群人成为目标攻击领域中最具挑战性的对手之一。