近期疑似APT28攻击组织发起了一轮窃密活动,其特点是利用mockbin API获取受害者的敏感信息。山石网科情报中心获取了一批活动样本。分析显示攻击者通过自定义的Nishang脚本窃取NTLM哈希值,受害者执行脚本后会请求属于攻击者的mockbin API并发送这些信息。
攻击起始于一个恶意LNK文件。受害者执行该文件后将启动一个隐藏的powershell窗口,然后从指定的url下载一个恶意powershell脚本并执行它。其中用于托管恶意脚本的webhook.site是一个常用的web测试网站。
![APT28组织通过mockbin API获取敏感信息]( "APT28组织通过mockbin API获取敏感信息")
下载的powershell脚本是一个经过修改的Nishang脚本。Nishang是一个常用于渗透测试的powershell脚本合集,原脚本可用于获取用户的NTLM哈希值。修改后的脚本在获取NTLM哈希值后将携带哈希值向属于攻击者的mockbin API发起请求。
![APT28组织通过mockbin API获取敏感信息]( "APT28组织通过mockbin API获取敏感信息")
mockbin.org也是一个常用web测试网站,可以记录发出的请求。攻击者可在服务端查看被泄露的NTLM哈希。然后攻击者可暴力破解NTLM哈希获取受害者的密码。
山石情报中心已收录相关样本,用户可以在山石网科威胁情报中心云瞻中查看相关IOC信息:
![APT28组织通过mockbin API获取敏感信息]( "APT28组织通过mockbin API获取敏感信息")
用户可以通过使用山石网科的防火墙和NIPS产品,利用其C2和AV防护模块来提高网络安全,从而降低潜在风险。为确保最佳保护,用户应及时升级特征库,确保其包含最新安全特征信息。山石网科的防火墙不仅提供了先进的网络安全防护功能,还集成了态势感知云景的智能能力,可以高效地监测和拦截与APT组织相关的威胁情报(IOC)和恶意行为。此外,它还能够快速响应和拦截与当前安全趋势、安全事件和相关样本有关的威胁。
https[:]//mockbin[.]org/bin/de22e2a8-d2af-4675-b70f-e42f1577da6e
https[:]//webhook[.]site/33128548-0eda-4e2b-bf89-7b1b225ecb9f
022d01e7007971f5a5096c4f2f2b2aa4
1e2a320658ba5b616eae7a3e247f44a6
358d9271b8e207e82dafe6ea67c1d198
山石网科情报中心,涵盖威胁情报狩猎运维和入侵检测与防御团队。 山石网科情报中心专注于保护数字世界的安全。以情报狩猎、攻击溯源和威胁分析为核心,团队致力于预防潜在攻击、应对安全事件。山石网科情报中心汇集网络安全、计算机科学、数据分析等专家,多学科融合确保全面的威胁分析。我们积极创新,采用新工具和技术提升分析效率。团队协同合作,分享信息与见解,追求卓越,为客户保驾护航。无论是防范未来威胁还是应对当下攻击,我们努力确保数字世界安全稳定。其中山石网科网络入侵检测防御系统,是山石网科公司结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如 PCI、等级保护、企业内部控制规范等要求。
https://ti.hillstonenet.com.cn/
![APT28组织通过mockbin API获取敏感信息]( "APT28组织通过mockbin API获取敏感信息")
https://sandbox.hillstonenet.com.cn/
![APT28组织通过mockbin API获取敏感信息]( "APT28组织通过mockbin API获取敏感信息")
原文始发于微信公众号(山石网科安全技术研究院):APT28组织通过mockbin API获取敏感信息
评论