通过分析BlackTech组织的活动以及该组织发动攻击所使用的策略和技巧，我们发现该组织与三个看似完全不同的网络间谍攻击活动（PLEAD、Shrowded Crossbow和Waterbear）相关。

我们深入分析了这三个网络间谍攻击活动的攻击过程、攻击方式以及其在攻击中使用的工具，我们最终发现了共同点，也就是说PLEAD, Shrouded Crossbow和Waterbear攻击活动实际上是由同一个组织操纵的。这个组织就是网络间谍组织BlackTech。

PLEAD攻击活动的目的是窃取机密信息。自2012年以来，PLEAD已经针对多个国家的政府机构和私营机构进行了大量攻击。 PLEAD使用的攻击工具包括自命名的PLEAD后门程序和DRIGO 渗透工具。 PLEAD使用鱼叉式网络钓鱼电子邮件传播，其会将恶意程序作为附件或者在邮件正文中插入链接，这些链接会指向云存储服务。有些云存储帐户被用作存储DRIGO偷盗来的机密资料。

PLEAD的安装程序会伪装成文档，并使用RTLO技术来混肴恶意文件名。这些文档通常具有诱惑性，以便进一步欺骗用户。通过深入分析，我们还发现PLEAD使用以下漏洞进行攻击：

CVE-2015-5119，Adobe已于2015年7月修复；

CVE-2012-0158，微软已于2012年4月修复；

CVE-2014-6352，微软已于2014年10月修复；

CVE-2017-0199，微软已于2017年4月修复。

PLEAD曾经利用Flash漏洞(CVE-2015-5119) 涉足无文件恶意程序。

【PLEAD利用路由器漏洞进行攻击流程图】

PLEAD攻击者首先使用扫描工具扫描带有漏洞的路由器，之后攻击者将启用路由器的VPN功能， 并将设备注册为虚拟服务器。该虚拟服务器是传递恶意软件到目标机器的C&C服务器或HTTP服务器。

PLEAD还利用IIS6.0远程代码执行漏洞（CVE-2017-7269）来控制受害者的服务器，这也是攻击者建立新的C&C或HTTP服务器的另外一种手段。

【PLEAD利用IIS6.0远程代码执行漏洞（CVE-2017-7269）攻击流程】

PLEAD的后门可以实现如下功能：

1.从浏览器和电子邮件客户端（如Outlook）收集保存凭据

2.列出驱动器，进程，打开的窗口和文件

3.打开远程Shell

4.上传目标文件

5.通过ShellExecute API执行应用程序

6.删除目标文件

PLEAD还使用了DRIGO渗透工具， 该工具主要功能是在被感染的机器上搜索文档。 DRIGO的每个副本包含了绑定攻击者特定Gmail帐户的刷新令牌，并连接到Google云端硬盘帐户。这些被盗取的文件被上传到Google云端硬盘，攻击者通过Google云端硬盘获取想要的信息。

Shrouded Crossbow攻击活动最早是在2010年出现的，我们有理由认为其背后有资金雄厚的支持者，因其购买了BIFROST后门的源代码，并在此基础上开发出了新的攻击工具。Shrouded Crossbow的攻击目标为私人企业、政府承包商以及与消费电子产品、计算机、医疗保健、金融等行业相关的企业。

Shrouded Crossbow攻击使用三个衍生于BIFROST的后门程序：BIFROSE，KIVARS和XBOW。像PLEAD一样，Shrouded Crossbow也是通过钓鱼邮件传播，附件为上面提及的三个后门程序。 其同样使用了RTLO技术来混肴恶意文件名。BIFROSE，KIVARS和XBOW后门程序有何不同呢：

• BIFROSE通过Tor协议与C＆C服务器进行通信，以此来逃避检测；其还有专门攻击基于UNIX的操作系统的版本，该版本通常用于服务器，工作站和移动设备。 

• 虽然与BIFROSE相比较，KIVARS的功能会少一些， 但其模块化结构更易于维护。 KIVARS主要功能是下载并执行文件，列出驱动器，卸载恶意软件服务，屏幕截图，激活或禁用键盘记录器，显示或隐藏活动窗口，以及触发鼠标点击和键盘输入。KIVARS已经有支持64位操作系统的版本。

• XBOW的功能从BIFROSE和KIVARS衍生而来。

Waterbear实际上已经存在很长时间，该攻击活动的命名是基于其使用的恶意软件功能。Waterbear同样采用了模块化的处理方式，加载模块执行后将会连接到C＆C服务器下载主后门程序，随后下载到的后门程序将被加载到内存中。之后的版本利用服务器应用程序作为加载模块，主后门程序通过加密文件加载，或者从C＆C服务器下载。

通过深入分析这三个网络攻击活动，我们发现其使用了相同的C＆C服务器；使用了相似的攻击工具及攻击方法；相似的攻击目标。由此我们可以推断出这三个网络间谍活动来自于同一个组织。对于一个资金雄厚的组织来说，分成几个团队进行多个网络攻击活动是屡见不鲜的。表面上看大多数攻击活动是独立进行的， 但如果把这些分阶段攻击活动整合在一起，我们很容易发现其实际上是一个完整的攻击链。

在上述三起网络间谍攻击事件中，我们发现其使用的都是相同的C&C服务器进行通信。我们都知道，在有针对性的攻击中，C＆C服务器通常是不会与其他组织共享。然而在这三起攻击事件中，C&C服务器是共享的：

【PLEAD、Shrouded Crossbow和Waterbear共享C&C服务器列表】

值得注意的是，IP地址211[.]72 [.]242[.]120对应的域名为microsoftmse[.]com，KIVARS变种通常使用该域名。

我们还发现，在攻击事件中，后门程序攻击的是同一个目标。当然也有可能是几个独立的组织在同一时间发动攻击，至少从中我们推断出这些攻击是协同工作的。

【PLEAD和Shrouded Crossbow攻击相同的目标 】

【PLEAD、Shrouded Crossbow和Waterbear攻击同一个目标 】

• PLEAD和Shrouded Crossbow都使用RTLO技术伪装成恶意文档程序， 其都使用诱饵文件使RTLO攻击更具诱骗性。

• PLEAD和Shrouded Crossbow都使用加载模块来加载加密的后门程序到内存中。
  

这些攻击活动的目标都是从受害者身上窃取重要的文件， 原始收件人并非是其主要攻击目标。例如，我们看到攻击者盗窃的文件被用于另一个目标的攻击中。这表明文件窃取是攻击链中的第一阶段，当然PLEAD和Shrouded Crossbow最有可能用于第一阶段攻击， 而Waterbear可以被视为攻击链中的第二阶段，在此阶段通过安装后门程序来获取特权。

根据这些攻击活动所窃取的文件类型，我们可以更清楚地了解他们的攻击目标，攻击目的以及攻击发生的时间。以下是一些偷盗文档种类或者标签：

我们建议政府机构以及企业，要对PLEAD, Shrouded Crossbow和 Waterbear等网络间谍活动进行有效防护， 最佳做法就是采用多层次的安全机制和针对目标攻击的策略，比如网络流量分析、入侵检测以及预防系统的部署，网络分段并对数据分类存储等。

亚信安全威胁发现设备TDA提供高级网络防护， 监控所有连接端口以及80多种通讯协议，分析所有进出的网络数据流量。通过其特殊的侦测引擎与定制化沙箱，能发现并分析攻击者使用的恶意软件、幕后操纵（C&C）恶意通讯，以及隐匿的攻击活动。

亚信安全服务器深度安全防护系统Deep Security集成了防恶意软件、Web 信誉、防火墙、入侵防御、完整性监控、应用程序控制和日志审查模块，可确保物理环境、虚拟环境和云环境中的服务器、应用程序以及数据安全无虞。