聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
以色列网络安全公司 Sygnia 发现了该攻击活动,并将该高阶且隐秘的活动称为 “螳螂“ 或 “TG2021”。研究人员表示,“TG2021 使用基于为 IIS 服务器构建的核心的、自定义的自定义恶意软件框架。该工具集完全不稳定、反射性地加载到受影响机器的内存中,在受影响目标上几乎不会留下任何迹象。该威胁行动者还通过另外一个隐秘后门和多个利用后模块实施网络侦察、提升权限并在网络中横向移动。
除了主动干扰记录机制并成功避开商用端点检测和响应 (EDR) 系统外,威胁行动者还利用 ASP.NET web 应用程序 exploit 初步站稳脚跟,通过执行复杂的植入 “NodellSWeb” 在服务器安装后门,加载自定义 DLLs 并拦截和处理服务器收到的HTTP 请求。
威胁行动者利用的漏洞包括:
-
Checkbox Survey RCE Exploit (CVE-2021-27852)
-
VIEWSTATE 反序列化 Exploit
-
Altserialization 不安全的反序列化
-
Telerik-UI Exploit(CVE-2019-18935和CVE-2017-11317)
有意思的是,Sygnia 公司对 TG1021 战术、技术和程序 (TTPs) 的调查发现了和 “复制粘贴攻陷 (Copy-Paste Compromises)“ 国家黑客组织之间的“重大重合之处”。澳大利亚网络安全中心 (ACSC) 在2020年6月详述了一起网络攻击活动通过利用位于 Telerik UI 和 IIS 服务器中的未修复缺陷攻击公开的基础设施。
研究人员表示,“‘螳螂’攻击西方两大主流市场中的公私实体,说明越来越多的网络犯罪分子正在利用复杂的国家攻击方法来攻击商业组织机构。持续的取证活动和及时的事件响应对于识别和有效防御类似网络攻击而言至关重要。”
https://thehackernews.com/2021/08/new-apt-hacking-group-targets-microsoft.html
题图:Pixabay License
文内图:hackernews
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
本文始发于微信公众号(代码卫士):APT 新组织利用 ASP.NET exploit 攻击微软 IIS 服务器
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论