中文用户是“高度组织化和复杂的攻击”活动的目标,该活动可能会利用网络钓鱼电子邮件通过 Cobalt Strike 负载感染 Windows 系统。
Securonix 研究人员 Den Iuzvyk 和 Tim Peck在一份新报告中表示:“攻击者成功横向移动、建立持久性并在系统内潜伏超过两周而不被发现。”
该秘密活动代号为SLOW#TEMPEST,并未归属于任何已知威胁行为者,它从恶意 ZIP 文件开始,解压后会激活感染链,从而在受感染系统上部署后利用工具包。
ZIP 存档中包含一个 Windows 快捷方式 (LNK) 文件,该文件伪装成 Microsoft Word 文件“违规远程控制软件人员名单.docx.lnk”,大致翻译为“违反远程控制软件法规的人员列表” ”。
研究人员指出:“从诱饵文件中使用的语言来看,特定的中国相关商业或政府部门很可能成为目标,因为他们都会雇用遵守‘远程控制软件规定’的人员。”
LNK 文件充当启动合法 Microsoft 二进制文件(“LicensingUI.exe”)的管道,该二进制文件使用DLL 侧载来执行恶意 DLL(“dui70.dll”)。这两个文件都是 ZIP 存档的一部分,位于名为“其他信息.__MACOS__._MACOS____MACOSX_MACOS_”的目录中。此次攻击标志着首次报告通过 LicensingUI.exe 进行 DLL 侧载的情况。
该 DLL 文件是 Cobalt Strike 植入程序,允许持续、隐秘地访问受感染的主机,同时与远程服务器(“123.207.74[.]22”)建立联系。
据称,远程访问使攻击者能够进行一系列实际活动,包括部署额外的有效载荷进行侦察和建立代理连接。
感染链还因设置计划任务而引人注目,该任务定期执行名为“lld.exe”的恶意可执行文件,该可执行文件可以直接在内存中运行任意 shellcode,从而在磁盘上留下最少的痕迹。
研究人员表示:“攻击者通过手动提升内置 Guest 用户帐户的权限,进一步使自己能够隐藏在受感染的系统中。”
“这个账户通常被禁用且权限极低,但通过将其添加到关键管理组并为其分配新密码,它就变成了一个强大的接入点。这个后门使他们能够在最少的检测下保持对系统的访问,因为 Guest 账户通常不像其他用户账户那样受到密切监控。”
随后,未知威胁行为者使用远程桌面协议 ( RDP ) 和通过 Mimikatz 密码提取工具获取的凭据在网络中横向移动,然后从每台机器建立到其命令和控制 (C2) 服务器的远程连接。
后利用阶段的另一个特点是执行几个枚举命令并使用 BloodHound 工具进行活动目录 (AD) 侦察,然后以 ZIP 存档的形式泄露其结果。
所有 C2 服务器均由深圳腾讯计算机系统有限公司在中国托管,这一事实进一步证实了该活动与中国的联系。此外,与该活动相关的大多数工件都来自中国。
研究人员总结道:“尽管没有确凿的证据将这次攻击与任何已知的 APT 组织联系起来,但它很可能是由经验丰富的威胁行为者策划的,这些威胁行为者有使用 Cobalt Strike 等高级开发框架和各种其他后开发工具的经验。”
“该活动的复杂性在其对初始攻击、持久性、权限提升和网络横向移动的系统性方法中显而易见。”
信息来源:TheHackerNews
原文始发于微信公众号(犀牛安全):新的网络攻击利用 Cobalt Strike 负载针对华语企业
评论