针对中东石油能源工业控制系统的又一网军诞生

自打石油，天然气等资源被合理开采和利用后，中东地区给人的体验，基本就是富的流油，流的连飞机模型和真正的飞机都区分不清，3.29欧元和3.29亿欧元之间的区别，可能仅仅是觉得价格有点贵，但仍然是合理的。

当然，有钱赚的地方，就会有争端，更何况中东地区之间的矛盾与纷争已经不是一年两年的事情，此前黑鸟在某课上也大概讲了讲关于中东之间的矛盾点，以及衍生的网络战争，为去敏，打码部分自行脑补。

如上图所看，还有很多的中东网军并没有罗列进去，诸如，野山猫，甚至各类间谍机构，如大名鼎鼎的以色列，伊朗圣城旅。

而今天要谈的是一个新披露的中东网军，其名目前有两，一为HEXANE(正己烷)，二为 LYCEUM(阅览室)。

由于该网军大多针对中东的能源组织发起攻击，而dragos对其命名为HEXANE(正己烷)更为贴近组织特征(深得黑鸟欢心)，因此下文均已该名称进行阐述。

HEXANE主要针对工业控制系统（ICS）的相关实体发起攻击。主要目标是中东的石油和天然气公司，包括科威特作为主要经营区域。

HEXANE还针对中东，中亚和非洲的电信供应商发起攻击，目的可能是为了成为网络流通的中间人以图拦截流量，或用作相关攻击的跳板。

与其他组织一样，该组织也会通过分发恶意文档进行攻击，这些文档会释放恶意软件以为后续活动建立立足点。虽然该小组至少在2018年中期开始运作，但活动在2019年初至中期频繁进行。这一时间表，目标和增加的行动恰逢中东目前的紧张局势升级，充分表明目前的政治和军事冲突领域。

域名注册表明，2018年中期该组织的一项活动主要针对南非目标。在2019年5月，其发起了一场针对中东石油和天然气组织的攻击活动。

HEXANE针对电信供应商的行为体现出APT组织的针对供应链攻击趋势。

首先针对工业控制系统ICS的攻击越来越多地瞄准潜在目标供应链中的第三方组织。

例如，在2018年，针对几家工业原始设备制造商（OEM）以及硬件和软件供应商的APT组织XENOTIME。其通过攻击ICS系统内的目标所使用的设备，固件或电信网络，从而可能通过受信任的供应商进入受害环境，并绕过实体的大部分网络安全防护。

HEXANE表现出与MAGNALLIUM和CHRYSENE攻击组织存在的相似之处。

可见他们公司比较喜欢使用化学符号作为攻击组织的代号。

MAGNALLIUM (镁)= APT33

CHRYSENE(屈) = APT34(OilRig)

这两个组织均会针对ICS目标进行攻击活动，同样主要集中在石油和天然气，而一些行为和最近观察到的战术，技术和过程（TTPs）是相似的。与HEXANE一样，APT33也在2019年初至中期增加了活动。并且最近针对美国政府和金融机构以及石油和天然气公司的APT33活动中，曾试图访问同个目标组织的计算机。

HEXANE工具包

HEXANE最初使用通过密码暴力破解的方式获得的帐户权限。并通过这类账户发送带有恶意Excel附件的电子邮件，其中文档会释放DanBot恶意软件，并部署后渗透工具。

工具包如下：

DanBot - 第一阶段远程访问木马（RAT），使用基于DNS和HTTP的通信机制，提供基本的远程访问功能，包括通过cmd.exe执行任意命令以及上传和下载文件的能力
DanDrop - 嵌入在Excel XLS文件中的VBA宏，用于释放DanBot
kl.ps1 - 基于PowerShell的键盘记录器
Decrypt-RDCMan.ps1 - PoshC2框架的一部分
Get-LAPSP.ps1 - 来自PowerShell Empire框架的基于PowerView的脚本

DanBot

DanBot使用.NET Framework 2.0以C＃编写，并提供基本的远程访问功能。

DanBot的C2协议的DNS隧道传输使用IPv4 A记录和IPv6 AAAA记录进行通信。自2018年初的样本以来，HTTP通道略有改动，但始终保留了共同的元素。

图1显示了DanBot硬编码用户代理中的拼写错误：操作系统值之后的＆符号。黑鸟友情提醒可以加特征。

代码中的其他拼写错误包括关键元素之间缺少空格以及Accept-Encoding标头中的“Enconding”拼写错误。开发人员的所有DanBot样本中始终使用“Accept-Enconding”（注意额外的'n'）。该错误可以促进对C2协议的基于HTTP的元素的网络检测。

图1.早期的2019年DanBot示例HTTP请求。

DanDrop

攻击者使用此恶意宏武器化文档中，提取DanBot Payload，然后使用计划任务Base64解码并安装恶意软件。

宏的基本形式和功能在分析的样本中保持不变，但是攻击者已经进行了渐进式改进以混淆宏并重构某些功能。

kl.ps1

kl.ps1是一个自定义键盘记录程序，它使用PowerShell编写并利用Microsoft .NET Core框架的一部分。它获取受害者设备上的窗口标题和键盘记录，并将它们存储为Base64编码数据。它还使用计划任务和VBScript文件进行持久化部署。图2显示了用于运行键盘记录器脚本的命令行。

图2.重建的PowerShell命令。

解密 - RDCMan.ps1

Decrypt-RDCMan.ps1是PoshC2渗透测试框架的一个组件。它用于解密存储在RDCMan配置文件中的密码凭据，密码可用于与文件存储服务器快速建立远程桌面会话。

恢复的凭证可以使攻击者在环境中获得额外的访问权限。该组织会在获得初始访问权限约一小时后通过DanBot部署此工具。

GET-LAPSP.ps1

Get-LAPSP.ps1是一个PowerShell脚本，通过LDAP从Active Directory收集帐户信息。其使用了其他框架的代码并且已经使用诸如invoke-obfuscation之类的混淆脚本运行。该组织在初次受害者设备后不久就通过DanBot部署了此工具。

攻击组织的目标第一站：人力资源和IT

2019年5月上传到外网的样本名称为“工业系统控制编程”。

对文档内容的肤浅分析可能会得出结论，本文档适用于使用工业控制系统（ICS）或操作技术（OT）的个人。

但是，本文档的真实内容是跨越多个部门的培训计划，其中ICS位居榜首。

这种培训一般针对高管，人力资源员工和IT人员，恰恰这些均为HEXANE的攻击目标。

HEXANE通过鱼叉式网络钓鱼使用已经攻陷的账户向目标高管，人力资源（HR）员工和IT人员发送钓鱼收件。

因为发件人为内部邮箱可信度较高，基本都会打开，而在感染远控后，下一步将会通杀整个工业控制系统。

2018年的几个活动（见图3）。

C2基础设施

LYCEUM使用PublicDomainRegistry.com，Web4Africa和Hosting Concepts BV注册商注册基础架构。新域名似乎已针对各个攻击系列进行注册。

该组织通常会在注册后的几周内使用该域名。而域名通常具有安全性或Web技术主题。

结论

没啥结论，重要的提醒便是，做好检测规则，做好防护，能源和工业控制系统ICS的注意类似攻击的防范，毕竟境外势力，哪都会渗透，利益攸关都是敌人。

组织活动信息

https://dragos.com/resource/hexane/

内附IOC信息

https://www.secureworks.com/blog/lyceum-takes-center-stage-in-middle-east-campaign

例行文末求关注。

求一斤原油！