自前一次黑鸟编写的“美国CIA的新网络武器曝光”▼一文以来,已经过去差不多有两周时间。
正愁没有其他更新的CIA线索之时,卡巴斯基近日发布的关于2019年全球网络威胁组织的总结报告中▼
▲https://securelist.com/ksb-2019-review-of-the-year/95394/
提到了关于美国CIA御用网军Lambert
也就是此前提到的颜色家族ColoredLambert,Black Blue Green这些,种类出现新增。
简单梳理了文章中的话,如下
Lamberts是一个或多个APT组织使用的一系列复杂攻击工具。武器库包括网络驱动后门,多代更迭的模块化后门,收集信息的工具和用于进行破坏性攻击从而灭掉系统数据的系统擦除器。
而卡巴这里还提到了一个他们的内部报告‘Unraveling the Lamberts Toolkit’ report
称里面记载了更多的关于Lamberts武器库的分析。
实在羡煞旁人,有渠道的求私聊分享一份,绝不外传
扯淡的说完了,下面是重点
2019年,卡巴增加了几种Lamberts的种类,还是以新颜色命名,这也就意味着美国CIA的网络武器库再次更新,每种颜色代表一个新种类,因此题目写的没毛病。
此外,每个颜色的Lambert武器实际上代表了针对一个目标的攻击。
针对中国
Silver Lambert,卡巴认为这是Gray Lambert的继任者,一套成熟的后门,实现了一些特定的NOBUS和OPSEC概念,例如通过检查服务器SSL证书Hash值来防止C2服务器失效,从而进行自动卸载以及简单的文件删除功能。
画重点:卡巴称,他们观察到了中国航空业中存在Silver Lambert的受害者。
Silver:银色
针对中东国家
Violet Lambert,一种模块化后门,似乎已在2018年就进行开发和部署,可以在各种Windows版本(包括Windows XP,Vista和更高版本的Windows)上运行,兼容性较高。
卡巴观察到了Violet Lambert在中东存在受害者。
Violet:紫罗兰色
而在中东关键基础设施的受害者计算机上,还发现了其他新的 Lambert植入物,称为Cyan Lambert(包括Light和Pro版本,也就是轻量级和专业级)。
Cyan:青蓝色
针对未知目标
Magenta Lambert,其重用较早的Lamberts代码,并且与Green,Black和White Lamberts的代码功上具有多个相似之处。
该恶意软件在网络进行监听,等待magic ping进行网络唤醒,然后执行非常隐蔽的Payload,而卡巴一直无法解密该Payload。
再次画重点:
在卡巴发现该恶意软件不久,所有受感染的计算机全部都下线了(went offline)
Magenta:紫红色
小小几段话,实际上蕴含了大量的信息量,包括卡巴的终端部署位置,美的空调的目标变更和定制化武器投放,Lambert恶意软件的新增功能作用,执行流程等等,基于敏感性在此不过多展开。
最后,黑鸟也建议根据里面提到的一些关键字眼进行排查,也许会有意外惊喜。
有更深兴趣可看CIA武器相关分析:
▲https://securelist.com/unraveling-the-lamberts-toolkit/77990/
▲https://www.symantec.com/connect/blogs/longhorn-tools-used-cyberespionage-group-linked-vault-7
最后,转发本文,2020年黑鸟祝您捕获到新的美方向攻击活动!此外各种APT组织追踪样样顺利!还有一个月,让我们不留“忘记给黑鸟转发关注点赞”的遗憾!
上期阅读
下面这文章有后续剧情,敬请关注本号看续集报道
▲恶意Python库混入PyPI,一年后被发现会窃取SSH和GPG密钥
下面这个是大趋势,注意研判
▲外媒称:中国、俄罗斯和伊朗将于12月27日举办联合海军演习
下面这个很牛逼,不过没有我今天知识星球发的东西牛逼
嗯?知识星球里有什么爆点?
扫码了解下↓
由于内容过于敏感,知识星球预览关了,有需要的赶紧扫码进入,公开与私密情报均列位其中,信息严禁传播,避免二次伤害。
点个赞,转个发,明天精彩更多
如有侵权请联系:admin#unsafe.sh