自前一次黑鸟编写的“美国CIA的新网络武器曝光”▼一文以来,已经过去差不多有两周时间。
正愁没有其他更新的CIA线索之时,卡巴斯基近日发布的关于2019年全球网络威胁组织的总结报告中▼
▲https://securelist.com/ksb-2019-review-of-the-year/95394/
提到了关于美国CIA御用网军Lambert
也就是此前提到的颜色家族ColoredLambert、Black Blue Green这些,种类出现新增。
简单梳理了文章中的话,如下
Lamberts是一个或多个APT组织使用的一系列复杂攻击工具。武器库包括网络驱动后门,多代更迭的模块化后门,收集信息的工具和用于进行破坏性攻击从而灭掉系统数据的系统擦除器。
而卡巴这里还提到了一个他们的内部报告‘Unraveling the Lamberts Toolkit’ report,称里面记载了更多的关于Lamberts武器库的分析。
扯淡的说完了,下面是重点
2019年,卡巴增加了几种Lamberts的种类,还是以新颜色命名,这也就意味着美国CIA的网络武器库再次更新,每种颜色代表一个新种类,因此题目写的没毛病。
此外,每个颜色的Lambert武器实际上代表了针对一个目标的攻击。
针对中国
Silver Lambert,卡巴认为这是Gray Lambert的继任者,一套成熟的后门,实现了一些特定的NOBUS和OPSEC概念,例如通过检查服务器SSL证书Hash值来防止C2服务器失效,从而进行自动卸载以及简单的文件删除功能。
画重点:卡巴称,他们观察到了中国航空业中存在Silver Lambert的受害者。
Silver:银色
针对中东国家
Violet Lambert,一种模块化后门,似乎已在2018年就进行开发和部署,可以在各种Windows版本(包括Windows XP,Vista和更高版本的Windows)上运行,兼容性较高。
卡巴观察到了Violet Lambert在中东存在受害者。
Violet:紫罗兰色
而在中东关键基础设施的受害者计算机上,还发现了其他新的 Lambert植入物,称为Cyan Lambert(包括Light和Pro版本,也就是轻量级和专业级)。
Cyan:青蓝色
针对未知目标
Magenta Lambert,其重用较早的Lamberts代码,并且与Green,Black和White Lamberts的代码功上具有多个相似之处。
该恶意软件在网络进行监听,等待magic ping进行网络唤醒,然后执行非常隐蔽的Payload,而卡巴一直无法解密该Payload。
再次画重点:
在卡巴发现该恶意软件不久,所有受感染的计算机全部都下线了(went offline)
Magenta:紫红色
小小几段话,实际上蕴含了大量的信息量,包括卡巴的终端部署位置,美的空调的目标变更和定制化武器投放,Lambert恶意软件的新增功能作用,执行流程等等,基于敏感性在此不过多展开。
最后,黑鸟也建议根据里面提到的一些关键字眼进行排查,也许会有意外惊喜。
有更深兴趣可看CIA武器相关分析:
▲https://securelist.com/unraveling-the-lamberts-toolkit/77990/
▲https://www.symantec.com/connect/blogs/longhorn-tools-used-cyberespionage-group-linked-vault-7
声明:本文来自黑鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
