黑客在帕洛阿尔托零日攻击中部署 Python 后门

威胁行为者一直在利用 Palo Alto Networks PAN-OS 软件中新披露的零日漏洞，该漏洞可追溯到 2024 年 3 月 26 日，比昨天曝光早了将近三周。

这家网络安全公司的 Unit 42 部门正在以 Operation MidnightEclipse 的名义跟踪该活动，将其归因于来源不明的单个威胁行为者的工作。

该安全漏洞被跟踪为 CVE-2024-3400（CVSS 评分：10.0），是一个命令注入缺陷，使未经身份验证的攻击者能够在防火墙上以 root 权限执行任意代码。

值得注意的是，此问题仅适用于启用了 GlobalProtect 网关和设备遥测的 PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 防火墙配置。

Operation MidnightEclipse 需要利用该缺陷创建一个 cron 作业，该作业每分钟运行一次，以获取外部服务器上托管的命令 （“172.233.228[.]93/policy“或”172.233.228[.]93/patch“），然后使用 bash shell 执行。

据说攻击者手动管理了命令和控制 （C2） 服务器的访问控制列表 （ACL），以确保只能从与其通信的设备访问它。

虽然该命令的确切性质尚不清楚，但怀疑该 URL 充当防火墙上基于 Python 的后门的传递工具，Volexity（于 2024 年 4 月 10 日发现对 CVE-2024-3400 的野外利用）正在跟踪 UPSTYLE 并托管在不同的服务器上（“144.172.79[.]92“和”nhdata.s3-us-west-2.amazonaws[.]com“）。

Python 文件旨在编写和启动另一个 Python 脚本 （“system.pth”），该脚本随后解码并运行嵌入式后门组件，该组件负责在名为“sslvpn_ngx_error.log”的文件中执行威胁参与者的命令。操作的结果将写入名为“bootstrap.min.css”的单独文件中。

攻击链最有趣的方面是，用于提取命令和写入结果的文件都是与防火墙关联的合法文件 -

• /var/log/pan/sslvpn_ngx_error.log

• /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css

至于如何将命令写入 Web 服务器错误日志，威胁参与者会伪造特制的网络请求，以发送到包含特定模式的不存在的网页。然后，后门分析日志文件并搜索与同一正则表达式匹配的行 （“img[（[a-zA-Z0-9+/=]+）]”） 以解码并在其中运行命令。

“然后，该脚本将创建另一个线程，该线程运行一个名为restore的函数，”Unit 42说。“恢复功能获取bootstrap.min.css文件的原始内容，以及原始访问和修改时间，休眠 15 秒，将原始内容写回文件，并将访问和修改时间设置为原始内容。”

主要目标似乎是避免留下命令输出的痕迹，因此需要在文件被覆盖之前的 15 秒内泄露结果。

Volexity在自己的分析中表示，它观察到威胁行为者远程利用防火墙创建反向外壳，下载其他工具，转向内部网络，并最终泄露数据。目前尚不清楚该运动的确切规模。公司已为对手分配了UTA0218的绰号。

这家美国网络安全公司表示：“攻击者采用的技巧和速度表明，这是一个能力很强的威胁行为者，他们有明确的剧本，可以进一步实现他们的目标。

“UTA0218 的最初目标是通过获取 NTDS 来获取域备份 DPAPI 密钥并定位 Active Directory 凭据。DIT 文件。他们进一步以用户工作站为目标，窃取保存的 cookie 和登录数据，以及用户的 DPAPI 密钥。

建议组织从其 Palo Alto Networks GlobalProtect 防火墙设备内部寻找横向移动的迹象。

这一发展还促使美国网络安全和基础设施安全局 （CISA） 将该漏洞添加到其已知利用漏洞 （KEV） 目录中，要求联邦机构在 4 月 19 日之前应用这些补丁以减轻潜在威胁。Palo Alto Networks 预计将在 4 月 14 日之前发布该漏洞的修复程序。

Volexity表示：“对于有能力的威胁行为者来说，针对边缘设备仍然是一个流行的攻击媒介，他们有时间和资源投资于研究新的漏洞。

“根据开发和利用这种性质的漏洞所需的资源、该行为者所针对的受害者类型以及安装 Python 后门和进一步访问受害者网络的能力，UTA0218极有可能是国家支持的威胁行为者。”

来源：【黑客在帕洛阿尔托零日攻击中部署 Python 后门 (thehackernews.com)】

原文始发于微信公众号（船山信安）：黑客在帕洛阿尔托零日攻击中部署 Python 后门