中文黑客工具包和活动历史曝光

https://thedfirreport.com/2024/10/28/inside-the-open-directory-of-the-you-dun-threat-group/

发现一名讲中文的威胁行为者正在利用韩国、中国、泰国、台湾和伊朗组织中的漏洞，该行为者利用 WebLogicScan、Vulmap 和 Xray 等扫描工具来识别目标。 

Viper C2 框架、带有 TaoWu 和 Ladon 扩展的Cobalt Strike以及 Leaked LockBit 3 构建器被用于部署恶意软件和加密系统。 

LockBit有效载荷中包含一个引用 Telegram 群组的自定义赎金记录，表明存在协同攻击和数据勒索的可能性。

攻击者采用多管齐下的方法来查找目标系统上的漏洞，利用Python脚本 WebLogicScan 来识别 WebLogic 服务器中的弱点，可能通过文本文件向脚本提供目标列表，同时还使用了另一个专注于 WebLogic 漏洞的工具 vulmap.py。 

最后，他们使用漏洞扫描程序Xray扩大了范围，针对两个特定的中国网站，并利用dirsearch挖掘目标上的隐藏目录，留下了过去扫描的证据。 

威胁行为者通过 SQLmap 利用 SQL 注入技术攻击了包括韩国一家制药组织在内的多个网站，利用 Seeyon_exp 利用致远 OA 软件中的漏洞上传 JSPX Web shell。 

他们还利用 Weaver 扫描并利用致远 OA 实例中的漏洞，利用 Cobalt Strike 进行命令和控制，并利用 TaoWu 和 Landon 等各种模块来扩展其功能。 

攻击者的武器库包括各种用于权限提升、横向移动和数据泄露的工具，显示出复杂的威胁程度。

通过使用 Cobalt Strike 的 Ladon 插件来自动执行后利用活动，他们初步获得了对 AWS 主机上的 Bitnami WordPress应用程序的访问权限（可能是通过 WPCargo 漏洞（CVE-2021-25003）），然后部署了 Viper C2 框架，并重用了 Cobalt Strike 服务器密码。 

通过滥用 Viper 的 MSF Web Delivery API，他们在受感染的 WordPress 主机上上传并执行了有效负载，对 Redis 转储的分析证实执行成功。 

攻击者获得了系统访问权限并利用 Docker 容器漏洞提升权限，然后上传了一个名为 Traitor 的工具，这使他们能够进一步将权限提升到 root 权限。 

攻击者随后通过扫描中国、韩国、伊朗、泰国和台湾的目标，在系统上部署了 LockBit 勒索软件，并使用多个代理服务器隐藏其位置，瞄准政府、教育、卫生和物流行业。 

DFIR 报告对勒索信和威胁行为者通信的分析表明，一个中文组织可能根据其 Telegram 频道（现已删除）被称为“You_Dun”，该组织从事恶意活动，如毁坏、数据泄露和潜在的 DDoS 攻击。 

证据表明，该组织的头目使用别名“EVA”，Telegram ID 为 6392878812，该组织还维护相关频道“You_Dun888”和“juxingchuhai”，以“暗云盾”的名义在这些频道上宣传服务并分享入侵证据。 

原文始发于微信公众号（独眼情报）：中文黑客工具包和活动历史曝光