背景介绍
近期,我们接到客户寻求帮助。客户在GitHub上下载了一个开源项目,并在本地环境编译其中的代码。然而,在运行该项目后不久,客户察觉到计算机出现后台进程异常运行。
经过初步分析,我们确认该项目存在明显的恶意行为。攻击者伪装成红队开源开发者,在GitHub上发布了一个精心构造的恶意代码库。再进一步溯源时,我们发现该恶意行为并非个例,而是一起大规模的针对渗透测试人员的APT攻击活动,其中涉及到38个GitHub账户均存在恶意后门,且至少该攻击活动已持续一年之久。
详细信息
经过初步分析,我们发现该GitHub账户不仅活跃度较高,还发布了多个用于渗透测试的工具源码。这些工具表面上看是合法的工具,但经过深入调查后,我们发现其中项目工程文件被植入了恶意后门。一旦用户下载并尝试编译这些工具,攻击者便可借此在受害者设备上获取远程控制权限,窃取敏感数据,甚至进一步扩展攻击范围。
进一步分析该账户发布的源码项目后,我们发现该黑客组织巧妙地利用了Visual Studio的编译特性,在项目的工程文件(.csproj)中嵌入了恶意代码。通过这一手法,攻击者能够在受害者编译或运行项目时,悄无声息地执行恶意脚本,从而实现后门植入、远程控制或数据窃取等恶意行为。这种攻击方式极具隐蔽性,往往难以被普通开发者察觉。
攻击者在“.csproj”文件中巧妙地插入了<PreBuildEvent>标签,使得项目在编译构建阶段自动触发恶意代码执行。
该部分恶意代码采用 Windows 批处理脚本编写,并经过多层混淆处理。经过初步解码分析,发现该样本通过拼接三段 Base64 编码数据,最终在 %TEMP% 目录下释放一个名为 b.vbs 的 VBScript 脚本文件。该文件用于执行后续攻击载荷。
第二轮混淆:b.vbs通过"Invoke-Expression"方法再次执行经过base64编码后的恶意代码。
第三轮混淆:base64解码后仍为经过混淆的powershell代码。
第四轮混淆:对powershll代码进行还原,我们发现该黑客团伙实现了如下功能:
1、通过下载7z解压组件保存至"C:ProgramDatasevenZip7z.exe";
2、无限制轮询访问下图中4个恶意C2链接,当任意一个可以正常下载并通过密码解压至%temp%GUID目录,命名方式为随机的GUID;
3、随后尝试启动名为%temp%GUID目录SearchFilter.exe的程序。
在对该样本进行分析时,我们发现当前时间段内,该黑客组织似乎尚未激活后续的后门功能。这表明攻击者可能会在特定时间或满足某些条件后,远程激活后门,以实施进一步的攻击活动。基于这一推测,我们编写了针对性的监控脚本,对样本关联的四个恶意链接进行持续追踪,以便及时捕获其动态变化,从而深入分析其攻击链条。
功夫不负有心人。终于,在3月5日下午17点05分左右,我们成功捕获了后续攻击载荷。这一关键发现进一步验证了我们的推测,表明该黑客组织确实在特定时间或条件满足后才会激活后门。随后的分析揭示了其攻击链的更多细节。
显然该压缩包是一个Electron打包的项目。经过对所有可执行程序进行分析,未发现恶意代码。进一步解包分析项目的app.asar文件时,发现main.js存在大量混淆
解混淆后,该代码仍有2万多行,进一步分析,发现该js代码为一个javaScript编写的远控。
该javaScript远控至少包含以下功能(由于时间有限,后续我们将详细对该远控进行分析):
1、获取受害机器IP
2、使用tg机器人作为主控
3、添加计划任务
4、添加defender扫描排除路径
5、bypass UAC
6、上线包,发送主机信息
7、截屏
8、结束进程
9、反虚拟机
溯源分析
随后,我们对该GitHub账户进行了进一步分析,发现了一个与该Github账户相关的黑客本地邮箱地址:"[email protected]"。这一发现为我们提供了有价值的线索。
我们进一步溯源该邮箱,令人震惊的是,GitHub上同时存在38个账户与该邮箱相关联。我们随即对这38个账户进行了详细分析,发现这些账户均为针对红队人员或其他技术开发者的钓鱼投毒账户。每个账户发布的恶意项目都有其独特的特点,旨在通过诱导受害者下载并运行恶意代码来获取控制权限。各账户名及发布恶意项目信息如下:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
IOC
|
|
|
|
|
|
|
|
|
|
小结
本次事件的曝光,从另一个角度揭示了APT组织攻击方式的“饥不择食”。将长矛指向了开源平台这块“璞玉”。对于开源生态的信任机制造成极大的冲击。且在此次攻击事件中,该组织“不拘一格”的使用javacript作为远控代码,而且截止文章发布前,相关恶意载荷还在持续更新。我们后续将持续追踪该事件,披露详细攻击事件链。
进一步调查表明,此类攻击并非孤立事件,而是某APT组织正在利用GitHub这一开发者常用的平台,进行大规模的钓鱼攻击。攻击者通过创建多个虚假账户,伪装成红队开发者,诱骗开发者下载并执行恶意内容。这种攻击方式隐蔽性极高,难以通过传统安全手段检测和阻止。
更多信息
目前团队已经开通知识圈子,圈子内部会不定期发布前沿的红蓝对抗技巧、免杀系列内容,同时还会不定期开放关于逆向学习相关课程和课件。除此之外圈子也作为一个平台,为大家创建一个技术交流的渠道,欢迎有兴趣的伙伴、也欢迎希望找到同频人的伙伴加入圈子。
✅ 自研shellcode引擎,源码一键生成shellcode。✅ 白名单Kill杀软,R3环境利用白名单一键结束杀软。✅ 单文件持久化,单文件一键写入计划任务持久化。✅ 反沙箱技术,通过硬件条件实现沙箱检测。
🚨 还有更多实战资源!!!期待您的加入!!!
关于我们
4SecNet 团队专注于网络安全攻防研究,目前团队成员分布在国内多家顶级安全厂商的核心部门,包括安全研究领域、攻防实验室等,汇聚了行业内的顶尖技术力量。团队在病毒木马逆向分析、APT 追踪、破解技术、漏洞分析、红队工具开发等多个领域积累了深厚经验,并持续在复杂威胁对抗和攻防技术创新方面不断探索与突破。4SecNet 致力于通过技术共享与实践推动网络安全生态的持续进步。
免责条款
本文的内容仅用于学习、交流和技术探讨,旨在传播网络安全知识,提高公众的安全意识。本博客不支持、提倡或参与任何形式的非法活动。本博客内容面向具备合法使用目的的读者,请确保在使用博客中涉及的技术或方法时符合《中华人民共和国网络安全法》等相关法律法规的要求。任何人不得将本博客内容用于破坏网络安全、侵入系统或其他违反法律的活动。
原文始发于微信公众号(安全狐):【APT攻击】针对渗透测试人员的大规模钓鱼攻击,涉及38个Github账号,请自查
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论