使用持续访问支持初始访问操作
UNC1860 与 APT34 重叠
Web Shell 和 Droppers
UNC1860 网络外壳和植入程序(例如 STAYSHANTE 和 SASHEYAWAY)在获得初始访问权限后被该组织部署并放置在受感染的服务器上,根据其功能,这些程序有可能被用于交接操作。2024 年 3 月,以色列国家网络局收到警报,称有针对以色列各个领域实体的擦除器活动,包括托管服务提供商、地方政府和学术界;技术指标包括独特的 STAYSHANTE 网络外壳和我们认为属于 UNC1860 的 SASHEYAWAY 植入程序。
自定义的 GUI 操作恶意软件控制器
UNC1860 GUI 操作的恶意软件控制器 TEMPLEPLAY 和 VIROGREEN 可以让对目标环境一无所知的第三方参与者通过 RDP 远程访问受感染的网络,并轻松控制受害者网络上先前安装的恶意软件。这些控制器还可以为第三方操作员提供一个界面,指导操作员如何部署自定义有效载荷并执行其他操作,例如在目标网络内进行内部扫描和利用。
TEMPLEPLAY 控制器
TEMPLEPLAY (MD5: c517519097bff386dc1784d98ad93f9d) 是一个基于 .NET 的 TEMPLEDOOR 被动后门控制器。它的内部名称为 Client Http,由多个选项卡组成,每个选项卡都便于控制单独的后门命令。
命令提示符选项卡(图 2)结束在目标主机上执行的命令行。默认命令是 cmd /c 2 > &1,带参数 whoami。
上传文件选项卡(图 3)使用 POST 请求将文件从本地路径上传到远程计算机上的目标路径。默认目标路径为C:Program FilesCommon FilesMicrosoftSharedWebServerExtensions15TEMPLATELAYOUTS。
下载文件选项卡(图4)用于从受感染机器上的给定路径获取文件。受感染机器上的默认路径是C:Programdata1.txt。
Http 代理选项卡(图 5)允许使用受 TEMPLEDOOR 感染的远程计算机作为中间盒,将数据转发到选定的目标服务器。它似乎主要用于促进与目标服务器的 RDP 连接,最有可能的情况是后者由于网络边界(例如 NAT 或防火墙)而无法通过互联网直接访问,但可以通过受 TEMPLEDOOR 感染的机器访问。
URL 选项卡(图 6)包含连接到受感染机器时使用的 URL 端点。端点字符串是从此选项卡中定义的列表中随机选择的。这些端点对应于 TEMPLEDOOR 示例(MD5:c57e59314aee7422e626520e495effe0)中定义的端点。
VIROGREEN 控制器
VIROGREEN 是一个自定义框架,用于利用 CVE-2019-0604 漏洞 SharePoint 服务器(图 7)。该框架提供后利用功能,包括扫描和利用 CVE-2019-0604;控制后利用负载、后门(包括 STAYSHANTE Web Shell 和 BASEWALK 后门)和任务;控制兼容代理(无论代理如何植入);执行命令和上传/下载文件。
正在跟踪 UNC1860 初始访问操作中使用的多个立足点实用程序和后门。这些程序通常使用自定义混淆方法,通过重命名字符串和函数名称来降低检测率并使分析更加困难。此外,我们还在跟踪我们认为是 UNC1860“主阶段”植入程序的众多代码系列,这些代码系列进一步增强了该组织在受害者环境中的持久性。
攻击指标 (IOC)
https://www.virustotal.com/gui/collection/bf73231856c4c981eb42fb4bd9cad60fddc444e1ec7375c4d3ad46bf18f4db41
注:还请各位关键基础特性的单位预防为主,进行内部关注和查杀
原文始发于微信公众号(三沐数安):UNC1860 和燕麦庙:伊朗在中东网络中的暗中操纵
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论