3月17日,国家安全部公开曝光了多名台湾网络攻击分子的真实身份,揭示了自2017年6月成立以来,台湾资通电军持续对大陆进行网络攻击渗透的恶劣行为,这一事件引起了社会各界的广泛关注。
知道创宇404高级威胁情报团队介绍,本次国家安全部公布的相关攻击组织,极有可能是台湾APT组织绿斑。凭借持续多年的网络安全监测与分析工作,知道创宇已成功掌握了近期绿斑所使用的恶意域名地址,并对其针对大陆的网络攻击活动进行了详细的溯源分析。
绿斑,又名毒云藤,自2007年起,长期针对大陆政府、国防、科技、教育及海事机构等重点单位,实施网络间谍活动。主要通过利用互联网暴露的目标和资产作为攻击入口,使用鱼叉邮件攻击和水坑攻击等手段来实施APT攻击。
基于创宇NDR流量监测系统对网络全流量的实时分析,发现攻击者在钓鱼网站上布置了自动下载的脚本,当用户点击该钓鱼页面时,会触发恶意载荷的下载。一旦载荷运行后,便会下载加密数据,通过AES解密以及解压缩后,最终加载执行开源加载器-donut。donut运行后则解密并运行最终载荷Sliver 。
知道创宇将掌握的恶意域名附在正文中,鉴于其对网络安全构成威胁,建议在企业、单位网络出入口对该域名进行屏蔽,并密切排查与该地址有连接的网络请求。
疑似绿斑利用钓鱼网站
分发Sliver样本分析报告
![知道创宇公布被国安点名的台湾网攻团伙所使用的恶意域名地址]( "知道创宇公布被国安点名的台湾网攻团伙所使用的恶意域名地址")
攻击者在钓鱼网站上布置了自动下载的脚本,当用户点击该钓鱼页面时触发恶意载荷的下载,该文件名为“宋xx局长:三月六日的事件后中国xx工业坚决反对违反党纪的行为至关重要.exe”,若用户未开启后缀显示,很容易将其当作pdf文档并点击运行。
当载荷运行后,下载加密数据,通过AES解密以及解压缩后最终加载执行开源加载器-donut,donut运行后则解密并运行最终载荷Sliver 。
![知道创宇公布被国安点名的台湾网攻团伙所使用的恶意域名地址]( "知道创宇公布被国安点名的台湾网攻团伙所使用的恶意域名地址")
在后续代码中有两处调用,第一处调用所指向的文件与第二处调用指向的文件功能是一致的,实际访问中,第一处调用并不会下载:
![知道创宇公布被国安点名的台湾网攻团伙所使用的恶意域名地址]( "知道创宇公布被国安点名的台湾网攻团伙所使用的恶意域名地址")
宋xx局长:三月六日的事件后中国xx工业坚决反对违反党纪的行为至关重要.exe是攻击者构造的恶意downloader,使用C#编写而成,并添加了代码混淆,为方便展示后续截图以解混淆后代码为主,具体如下:
从“hxxps://***.***.208.174/mp4/ads.mp4”下载加密载荷:
使用AES解密后再解压缩得到最终的shellcode:
![知道创宇公布被国安点名的台湾网攻团伙所使用的恶意域名地址]( "知道创宇公布被国安点名的台湾网攻团伙所使用的恶意域名地址")
Shellcode实际为开源加载器donut,最终解密并执行其中的PE-Sliver:
Sliver 是一个开源的跨平台对手模拟/红队框架,各种规模的组织都可以使用它来执行安全测试。Sliver 的植入程序支持基于 Mutual TLS (mTLS)、WireGuard、HTTP(S) 和 DNS 的 C2,并使用每个二进制非对称加密密钥进行动态编译,支持丰富的远控功能:
7f0dba2d***3fdd717d83bb693b3ade9
61c42751f***4efafec524be23055fba
hxxps://***.***.208.174/mp4/ads.mp4
以下是知道创宇监测到的绿斑团伙所使用的恶意域名地址,建议在企业、单位网络出入口对该域名进行屏蔽,并密切排查与该地址有连接的网络请求。
创宇NDR流量监测系统
源于实战 锻造四大核心特性
此次对于掌握到的恶意域名地址,以及其攻击行为的溯源与分析,源于创宇NDR流量监测系统的独特 APT 情报测绘体系、强大的数据挖掘与漏洞攻击监测能力。
创宇NDR流量监测系统,是一款通过对网络全流量深度分析实现APT检测和响应的软硬件一体化产品。主要通过实时分析网络全流量,结合ZoomEye网络空间测绘情报数据,辅以异常网络行为模型分析技术,实时检测系统漏洞、病毒木马、网络攻击等可疑活动以识别出潜在威胁。使产品能够准确、快速地掌握攻击链条,并采取防御措施,将APT攻击阻止在萌芽状态。同时加上全流量存储、全流量日志存储、快速搜索为威胁情报分析、溯源取证提供有力的保障。
基于全球领先的空间测绘引擎Zoomeye的数据能力,创宇NDR流量监测系统能对APT攻击组织的基础设施做到提前发现,持续跟踪,及时预警。
自研DIE流量处理引擎,已达到10Gbps 处理能力,并提供全流量保存及下载能力,全流量日志快速查询。
基于国内领先的Seebug平台高危的漏洞规则赋能创宇NDR流量监测系统,第一时间检测最新高危漏洞攻击。
长期跟踪以下对中国发起APT攻击的40+活跃组织,确保能及时检测到APT组织最新的攻击活动。
原文始发于微信公众号(知道创宇):知道创宇公布被国安点名的台湾网攻团伙所使用的恶意域名地址
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3851578.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论