正文

APT黑客利用罕见隐形技术攻击军事和政府目标

admin
admin V管理员 /0 评论 /64 阅读
0928
此篇文章发布距今已超过56天,您需要注意文章的内容或图片是否可用!

导 

APT组织执行了“AppDomainManager 注入”,这类似于 DLL 侧加载,但可以说更容易、更隐蔽。

正在进行的攻击活动使用了两种鲜为人知的隐形技术来感染敏感地区的军事、政治目标。

第一个“GrimResource”是一种新技术,允许攻击者在 Microsoft 管理控制台 (MMC) 中执行任意代码。

第二种技巧是“AppDomainManager 注入”,它使用恶意动态链接库 (DLL),但比传统的侧载更简单。这种技巧已经存在七年了,被开源社区、渗透测试人员使用。但在野外恶意活动中很少见到这种技巧。

NTT 研究人员在一篇新博客文章(https://jp.security.ntt/tech_blog/appdomainmanager-injection)中表示,自 7 月以来,一个高级威胁组织一直在结合使用这些技术,将 Cobalt Strike 投放到东南亚敏感地区的政府、军事、能源组织等目标的 IT 系统中。

GrimResource 的工作原理

攻击始于包含在网络钓鱼电子邮件或恶意网站中的 ZIP 文件。

ZIP 包含一个带有 Windows 证书或 PDF 图标的文件。实际上,它是一个管理保存控制台 (MSC) 文件,这是一种用于保存 MMC 内配置和设置的文件类型。

MSC 近来在攻击者中越来越受欢迎。这始于微软发布了一系列默认控件的更改,这些更改可用于从电子邮件中执行有效负载。

这是一种非常有趣且功能强大的文件格式,与许多经常被滥用的常见文件格式相比,它受到的关注较少。

利用此类漏洞的一种技术是GrimResource,它于 7 月首次由 Elastic 发现。GrimResource 利用 Windows 身份验证协议域支持 (APDS) 库中存在六年的跨站点脚本 (XSS) 问题,在 MMC 中实现任意代码执行。

在此活动中,攻击者使用它来消除感染过程中的一个步骤:无需让受害者单击 MSC 文件中的恶意链接,只需打开 MSC 文件即可触发嵌入的 Javascript。

然后,恶意的 Javascript 会下载并运行合法的、经过签名的 Microsoft 可执行文件“dfsvc.exe”,并将其重命名为“oncesvc.exe”。但如果该文件是完全真实的,那么它如何被用来下载恶意软件呢?

激活 AppDomainManager注入

所有使用 Microsoft .NET 框架构建的应用程序都会运行一个或多个应用程序域,这些域由“AppDomainManager”类创建和管理。在 AppDomainManager 注入中,攻击者会使用恶意代码创建一个 AppDomainManager 类,然后诱骗目标应用程序加载该类而不是合法应用程序。

这可以通过配置三个特定环境变量(APPDOMAIN_MANAGER_ASM、APPDOMAIN_MANAGER_TYPE 和 COMPLUS_VERSION)来实现,或者像本次攻击活动中的情况一样,上传一个自定义配置文件,该文件只会指示应用程序运行其恶意的 AppDomainManager。

Rapid7 渗透测试首席安全顾问 Nicholas Spagnola 解释说:“你实际上是在告诉通用语言运行时 (CLR)——Windows 操作系统的一部分,它告诉操作系统如何加载和处理 .NET 应用程序——在你运行 .NET 进程时包含一个恶意 DLL。”“它实际上允许你将几乎任何 .NET 应用程序变成一个活生生的二进制文件”。

NTT 研究人员写道:“目前,DLL 侧载是执行恶意软件的最常见方法,但 AppDomainManager 注入比 DLL 侧载容易得多,并且人们担心未来利用可能会增加。”

由于发现此类恶意注入非常困难,King 建议采取一种防御方法,在此类攻击发生之前进行阻止。

参考链接:

https://www.darkreading.com/application-security/hackers-use-rare-stealth-techniques-to-down-asian-military-govt-orgs

今日安全资讯速递

APT事件

Advanced Persistent Threat

APT黑客利用罕见隐形技术攻击军事和政府目标

https://www.darkreading.com/application-security/hackers-use-rare-stealth-techniques-to-down-asian-military-govt-orgs

伊朗网络间谍组织在复杂的鱼叉式网络钓鱼活动中部署了新的 BlackSmith 恶意软件

https://www.csoonline.com/article/3489887/iranian-cyberespionage-group-deploys-new-blacksmith-malware-in-sophisticated-spear-phishing-campaign.html

Meta 揭露伊朗黑客组织利用 WhatsApp 攻击全球政治人物

https://thehackernews.com/2024/08/meta-exposes-iranian-hacker-group.html

New MoonPeak RAT 与朝鲜威胁组织 UAT-5394 有关

https://www.infosecurity-magazine.com/news/moonpeak-rat-north-korea/

朝鲜黑客利用 Windows 驱动程序 0day 漏洞传播 rootkit(CVE-2024-38193)

https://www.helpnetsecurity.com/2024/08/20/0-day-in-windows-driver-exploited-by-north-korean-hackers-to-deliver-rootkit-cve-2024-38193/

“Velvet Ant”黑客利用零日漏洞在思科 Nexus 交换机上部署恶意软件

https://www.securityweek.com/china-linked-velvet-ant-hackers-exploited-zero-day-to-deploy-malware-on-cisco-nexus-switches/

一般威胁事件

General Threat Incidents

加州Patelco 信用合作社向 726,000 名客户通报勒索软件数据泄露事件

https://www.bleepingcomputer.com/news/security/patelco-notifies-726-000-customers-of-ransomware-data-breach/

Uber 因将司机数据从欧洲转移到美国被罚款 3.25 亿美元

https://www.bleepingcomputer.com/news/legal/uber-fined-325-million-for-moving-driver-data-from-europe-to-us/

西雅图-塔科马机场 IT 系统因网络攻击而瘫痪

https://www.bleepingcomputer.com/news/security/seattle-tacoma-airport-it-systems-down-due-to-a-cyberattack/

PEAKLIGHT 下载器部署在针对 Windows 的恶意电影下载攻击中

https://thehackernews.com/2024/08/new-peaklight-dropper-deployed-in.html

Google Play 上超过 90 款 Android 应用程序被发现包含恶意软件

https://www.msn.com/en-us/money/other/be-careful-these-android-apps-are-installing-malware-stealing-your-data/ar-BB1nytrH

新的 Linux 恶意软件 'sedexp' 使用 Udev 规则隐藏信用卡盗刷器

https://thehackernews.com/2024/08/new-linux-malware-sedexp-hides-credit.html

麒麟勒索软件窃取 Google Chrome 中存储的凭据

https://securityaffairs.com/167496/cyber-crime/qilin-ransomware-steal-google-chrome-passwords.html

美国无线电中继联盟确认支付 100 万美元赎金以获得解密器

https://www.bleepingcomputer.com/news/security/american-radio-relay-league-confirms-1-million-ransom-payment/

美国石油巨头哈里伯顿确认系统关闭是受到网络攻击

https://www.bleepingcomputer.com/news/security/us-oil-giant-halliburton-confirms-cyberattack-behind-systems-shutdown/

新的 PEAKLIGHT 植入程序在针对 Windows 的恶意电影下载攻击中被部署

https://thehackernews.com/2024/08/new-peaklight-dropper-deployed-in.html

黑客正在利用 LiteSpeed Cache 插件中的严重漏洞(CVE-2024-28000)

https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-bug-in-litespeed-cache-plugin/

新型 NGate Android 恶意软件利用 NFC 芯片窃取信用卡数据

https://www.bleepingcomputer.com/news/security/new-ngate-android-malware-uses-nfc-chip-to-steal-credit-card-data/

新恶意软件 Cthulhu Stealer 瞄准 Apple macOS 用户

https://securityaffairs.com/167454/malware/cthulhu-stealer-targets-apple-macos.html

漏洞事件

Vulnerability Incidents

Versa 修复了攻击中利用的 Director 0day漏洞

https://www.bleepingcomputer.com/news/security/versa-fixes-director-zero-day-vulnerability-exploited-in-attacks/

开源Traccar GPS 系统存在严重缺陷,用户面临远程攻击

https://thehackernews.com/2024/08/critical-flaws-in-traccar-gps-system.html

SonicWall 发布重要补丁,修复允许未经授权访问的防火墙漏洞

https://thehackernews.com/2024/08/sonicwall-issues-critical-patch-for.html

研究人员在 MLOps 平台中发现 20 多个供应链漏洞

https://thehackernews.com/2024/08/researchers-identify-over-20-supply.html

CISA 敦促联邦机构在 9 月之前修复 Versa Director 漏洞

https://thehackernews.com/2024/08/cisa-urges-federal-agencies-to-patch.html

黑客可以接管 Ecovacs 家用机器人来监视其主人

https://securityaffairs.com/167508/hacking/researchers-hacked-ecovacs-devices.html

微软修补导致敏感数据泄露的严重 Copilot Studio 漏洞

https://thehackernews.com/2024/08/microsoft-patches-critical-copilot.html

WordPress LiteSpeed Cache 插件存在严重缺陷,允许黑客获取管理员访问权限

https://thehackernews.com/2024/08/critical-flaw-in-wordpress-litespeed.html

Google 修复 Chrome 中被广泛利用的高危漏洞(CVE-2024-7971)

https://thehackernews.com/2024/08/google-fixes-high-severity-chrome-flaw.html

思科修补 NSA 报告的高危漏洞

https://www.securityweek.com/cisco-patches-high-severity-vulnerability-reported-by-nsa/

新的“ALBeast”漏洞暴露了 AWS 应用程序负载均衡器的缺陷

https://thehackernews.com/2024/08/new-albeast-vulnerability-exposes.html

CISA 警告大华产品存在可利用的漏洞

https://www.securityweek.com/cisa-warns-of-exploited-vulnerabilities-impacting-dahua-products/

数百万张 RFID 卡存在重大漏洞,可实现即时克隆

https://www.securityweek.com/major-backdoor-in-millions-of-rfid-cards-allows-instant-cloning/

SolarWinds 在其 Web Help Desk 产品中留下了关键的硬编码凭证

https://www.theregister.com/2024/08/22/hardcoded_credentials_bug_solarwinds_whd/

Atlassian 修补 Bamboo、Confluence、Crowd、Jira 中的漏洞

https://www.securityweek.com/atlassian-patches-vulnerabilities-in-bamboo-confluence-crowd-jira/

扫码关注

会杀毒的单反狗

讲述普通人能听懂的安全故事


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com