黑客用EyePyramid恶意软件入侵共济会及政客邮箱 恶意软件居然在中国境内也有分布

警方逮捕了两名黑客，控告他们入侵政客、律师、企业家和共济会成员邮箱，同时控告他们长期从事网络间谍活动。在查获的服务器资料中，可以看到他们窃取的数据被细致地归档为120多类，其中BROS类包含某共济会会所的邮件，POBU类包含政客相关邮件，而用于进行鱼叉攻击的EyePyramid恶意软件在中国境内也有分布。

意大利警方逮捕的这两名黑客是一对姐弟，朱利奥（Giulio）和弗朗西斯卡·玛丽亚·奥基奥内罗（Francesca Maria Occhionero），他们被控长期从事网络间谍活动，其目标锁定意大利政客、律师、企业家和共济会成员。“中招者”包括欧洲银行行长马里奥·德拉吉（Mario Draghi）、两位意大利前总理马泰奥·伦齐（Matteo Renzi）和马里奥·蒙蒂（Mario Monti）、以及天主教会红衣主教詹弗兰科·拉瓦西（Gianfranco Ravasi）。

利用EyePyramid恶意软件 意在利用共济会的象征Eye of Providence

朱利奥·奥基奥内罗是大东方社（Grand Orients Masonic lodge）的成员，他所从事的间谍活动还针对意大利会所的其他成员，包括总会长。

总共18,000多个邮箱账户遭到入侵。据说，德拉吉的欧洲银行账户未被黑。目前没有证据表明任何欧洲银行账户遭到入侵。警察局的网络专门调查小组的组长Roberto Di Legami告诉路透社，

“数以万计的邮箱账户遭到了入侵，其中包括银行家、企业家，甚至是梵蒂冈的红衣主教的邮箱。”

EyePyramid背后的攻击者发起了鱼叉式攻击活动，旨在入侵特定人员的邮箱账户，尤其是数个法律公司的律师及其助手的邮箱。趋势科技表示，

“该恶意邮件附件（实际上是上述EyePyramid）一旦打开，通过植入一个伪随机名称（扩展名为.exe）的副本，引导并完成其加载程序。”

入侵动机是什么？

鉴于目前并不清楚哪些信息被盗和谁盗用了信息，很难弄清入侵动机。EyePyramid恶意软件导致渗漏的数据，已经被发送至位于美国的服务器。警方已确定了奥基奥内罗所控制的僵尸网络的两个C&C服务器。我们需等待对这些机器进行取证调查，从而收集更多信息。

法院指令表明，数据被整理为120多类，其中两类引起了媒体关注：

• BROS类包含某共济会会所的邮件。
• POBU类包含政客相关邮件。

所窃取的数据被细致地归档为120多类，其中BROS类包含某共济会会所的邮件，POBU类包含政客相关邮件。

卡巴斯基实验室表明，80%的EyePyramid检测在意大利进行，这不足为奇。在其他几个国家也发现了该恶意软件。研究人员已发现44个EyePyramid样本，这些样本的大多数是2014和2015年编译的。

若你对EyePyramid恶意软件分析感兴趣，建议关注如下各方的分析：

• 费德瑞可・麦琪（Federico Maggi）在GitHub上发布的分析
• Payload Security
• 趋势科技

安全专家们猜测EyePyramid事件属于政府间谍活动

一些安全专家也推测这与情报机构如国家安全局和Project Sauron APT发起的国际间谍活动有关联。笔者在写这篇文章时也只是猜测，因为公开发布的数据并未证实这一点。笔者个人认为数人参与了EyePyramid网络间谍活动，而且据笔者推测，代码编写人员故意留下了与活动嫌疑人相关的证据。

让我们看看费德瑞可・麦琪的分析：

1. 所修改的恶意软件（或对现有恶意软件优化和调整），除传统C2通信技术，还利用了MailBee.NET.dll接口（用于构建邮件软件的.NET库），将所渗漏的数据发送给数个dropzone。该恶意软件的编写者使用的其中一个MailBee许可证密钥为(? = uknownw) MN600-D8102?501003102110C5114F1?18-0E8CI（其他密钥如下所示）。
   • 入侵（我们不知道是如何入侵的）一些邮箱账户（据我们所知，至少15个）， 包含几位律师及其助手的账户。
   • 攻击者（或恶意软件，目前确实不清楚）通过Tor（目前唯一知晓的退出代码为37.49.226.236。这里只是随便提一下，未必如此。）进行连接。
2. 利用邮件服务器（Aruba’s MX 62.149.158.90是其中一个服务器）。攻击者向受害人的邮件账户发送了包含恶意附件（信息尚未确定：有人认为附件为PDF文件）的鱼叉式钓鱼邮件。
3. 等待受害者打开附件，释放恶意软件可执行文件。
   • 该恶意软件将渗漏的数据发送至各dropzone（例如使用的多个邮件地址）。

总的来说，攻击者多年来用于绕过受害者的防御措施的手段与该恶意软件中采用的方法相同，即采用了附带其个人许可证编号的库（MailBee.NET.dll接口）。奥基奥内罗利用了其相关的主机/域名（某些为C&C）。

趋势科技发布的分析表明，

“最初，恶意软件只是单纯作为写入.NET（>= 4.5.x）的代码出现，但深入观察发现其实则不然。标准模糊处理后（可通过现成的工具逆向恢复），反编译的源代码中的敏感部分会被模糊，这就增加了检测和分析难度。

例如，C&C服务器的URL和MailBee的许可证秘钥（据称是以攻击者的名义购买的）是重点模糊对象。”

“通过分析，我们了解到模糊程序中包含解密步骤，这一步骤基于3DES密码、MD5值以及输入数据的SHA256”