导 读
Securonix 威胁研究团队发现了一项针对中文用户的秘密攻击活动,该活动可能通过钓鱼电子邮件发送 Cobalt Strike 负载。攻击者设法横向移动,建立持久性并在系统内潜伏超过两周而不被发现。
该秘密活动代号为SLOW#TEMPEST,并未归属于任何已知黑客组织,它从恶意 ZIP 文件开始,解压后会激活感染链,从而在受感染系统上部署后利用工具包。
ZIP 存档中包含一个 Windows 快捷方式 (LNK) 文件,该文件伪装成 Microsoft Word 文件“违规远程控制软件人员名单.docx.lnk”,大致翻译为“违反远程控制软件法规的人员列表” ”。
研究人员指出:“从诱饵文件中使用的语言来看,特定的中国相关商业或政府部门很可能成为目标,因为他们都会雇用遵守‘远程控制软件规定’的人员。”
LNK 文件充当启动合法 Microsoft 二进制文件(“LicensingUI.exe”)的管道,该二进制文件使用DLL 侧载来执行恶意 DLL(“dui70.dll”)。
这两个文件都是 ZIP 存档的一部分,位于名为“其他信息.__MACOS__._MACOS____MACOSX_MACOS_”的目录中。此次攻击标志着首次报告通过 LicensingUI.exe 进行 DLL 侧载的情况。
该 DLL 文件是 Cobalt Strike 植入程序,允许持续、隐秘地访问受感染的主机,同时与远程服务器(“123.207.74[.]22”)建立联系。
据称,远程访问使攻击者能够进行一系列实际活动,包括部署额外的有效载荷进行侦察和建立代理连接。
感染链还因设置计划任务而引人注目,该任务定期执行名为“lld.exe”的恶意可执行文件,该可执行文件可以直接在内存中运行任意 shellcode,从而在磁盘上留下最少的痕迹。
攻击链
研究人员表示:“攻击者通过手动提升内置 Guest 用户帐户的权限,进一步使自己能够隐藏在受感染的系统中。”
“Guest账户通常被禁用且权限极低,但通过将其添加到关键管理组并为其分配新密码,它就变成了一个强大的接入点。这个后门使他们能够在最少的检测下保持对系统的访问,因为 Guest 账户通常不像其他用户账户那样受到密切监控。”
随后,黑客使用远程桌面协议 ( RDP ) 和通过 Mimikatz 密码提取工具获取的凭据在网络中横向移动,然后从每台机器建立到其命令和控制 (C2) 服务器的远程连接。
后利用阶段的另一个特点是执行几个枚举命令并使用 BloodHound 工具进行活动目录 (AD) 侦察,然后以 ZIP 存档的形式泄露其结果。
所有 C2 服务器均在中国托管,这一事实进一步证实了该活动与中国的联系。此外,与该活动相关的大多数工件都来自中国。
研究人员总结道:“尽管没有确凿的证据将这次攻击与任何已知的 APT 组织联系起来,但它很可能是由经验丰富的黑客组织策划的,这些攻击者有使用 Cobalt Strike 等高级开发框架和各种其他后开发工具的经验。”
“此次活动的复杂性在其对初始攻击、持久性、权限提升和网络横向移动的系统性方法中显而易见。”
技术报告:https://www.securonix.com/blog/from-cobalt-strike-to-mimikatz-slowtempest/
参考链接:
https://thehackernews.com/2024/08/new-cyberattack-targets-chinese.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
谷歌发现俄罗斯 APT 重复利用间谍软件开发商 NSO Group 和 Intellexa 的漏洞
https://www.securityweek.com/google-catches-russian-apt-re-using-exploits-from-spyware-merchants-nso-group-intellexa/
伊朗黑客利用新型 Tickler 恶意软件收集关键基础设施情报
https://www.securityweek.com/iranian-hackers-use-new-tickler-malware-to-collect-intel-from-us-uae/
黑客利用伪造的 Palo Alto VPN工具瞄准中东
https://www.trendmicro.com/en_us/research/24/h/threat-actors-target-middle-east-using-fake-tool.html
伊朗“狐狸小猫”组织对美国目标发动勒索软件攻击
https://www.darkreading.com/threat-intelligence/irans-fox-kitten-group-aids-ransomware-attacks-on-us-targets
朝鲜黑客利用恶意 npm 软件包攻击软件开发者
https://thehackernews.com/2024/08/north-korean-hackers-target-developers.html
深入剖析针对中国用户的 SLOW#TEMPEST 攻击活动
https://thehackernews.com/2024/08/new-cyberattack-targets-chinese.html
未知黑客组织利用 Google Sheets 控制恶意软件,可能进行间谍活动
https://thehackernews.com/2024/08/cyberattackers-exploit-google-sheets.html
一般威胁事件
General Threat Incidents
美国政府就哈里伯顿网络攻击事件中涉嫌勒索软件组织发布警告
https://www.securityweek.com/us-government-issues-advisory-on-ransomware-group-blamed-for-halliburton-cyberattack/
BlackByte 勒索软件团伙被认为比泄漏网站所暗示的更为活跃
https://www.securityweek.com/blackbyte-ransomware-gang-believed-to-be-more-active-than-leak-site-suggests/
旧闭路电视摄像机为 Mirai 僵尸网络变种提供了新的机会
https://therecord.media/avtech-zero-day-cctv-cameras-mirai-botnet-variant
Atlassian Confluence 漏洞被利用于加密货币挖矿活动
https://thehackernews.com/2024/08/atlassian-confluence-vulnerability.html
漏洞事件
Vulnerability Incidents
Fortra 修补 FileCatalyst 工作流中的严重漏洞
https://www.securityweek.com/fortra-patches-critical-vulnerability-in-filecatalyst-workflow/
企业网络监控和管理解决方案 WhatsUp Gold 存在严重缺陷,导致系统面临全面攻击
https://www.securityweek.com/critical-flaws-in-progress-software-whatsup-gold-expose-systems-to-full-compromise/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):深入剖析针对中国用户的 SLOW#TEMPEST 攻击活动
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论