导 读
被称为APT41 (又名 Brass Typhoon、Earth Baku、Wicked Panda 或 Winnti)的黑客组织被认为针对赌博和游戏行业发动了一次复杂的网络攻击。
以色列网络安全公司 Security Joes 联合创始人兼首席执行官 Ido Naor 在一份声明中表示:“在至少六个月的时间里,攻击者秘密从目标公司收集了有价值的信息,包括但不限于网络配置、用户密码和 LSASS 流程的秘密。”
“在入侵过程中,攻击者根据安全团队的响应不断更新其工具集。通过观察防御者的行为,他们改变了策略和工具以绕过检测并保持对受感染网络的持续访问。”
今年,该多阶段攻击针对了其一名客户,持续了近 9 个月,与网络安全供应商 Sophos 追踪的代号为“ Operation Crimson Palace”的入侵行为(https://news.sophos.com/en-us/2024/09/10/crimson-palace-new-tools-tactics-targets/)有重叠。
Naor 表示,该公司四个月前就对这一事件做出了回应,并补充说:“我们高度怀疑 APT41 是为了经济利益。”
该活动在设计时充分考虑了隐秘性,利用一系列策略来实现其目标,使用自定义工具集不仅可以绕过环境中安装的安全软件,还可以收集关键信息并建立隐蔽通道以进行持续的远程访问。
Security Joes 将 APT41 描述为“技术高超且有条不紊”,并指出其能够发动间谍攻击以及破坏供应链,从而导致知识产权盗窃和以勒索软件和加密货币挖掘等为经济动机的入侵。
目前尚不清楚此次攻击所使用的确切初始访问载体,但鉴于面向互联网的网络应用程序中不存在活动漏洞或供应链漏洞,证据倾向于认为它是鱼叉式网络钓鱼电子邮件。
该公司在报告中称:“一旦进入目标基础设施,攻击者就会执行 DCSync 攻击,旨在获取服务和管理账户的密码哈希值以扩大其访问权限。”“利用这些凭证,他们建立了持久性并保持了对网络的控制,特别关注管理员和开发人员账户。”
攻击者有条不紊地开展侦察和后利用活动,经常根据应对威胁所采取的措施调整其工具集并提升其权限,最终目标是下载和执行额外的有效载荷。
他们用来实现目标的一些技术包括Phantom DLL 劫持和使用合法的 wmic.exe 实用程序,更不用说滥用具有管理员权限的服务帐户访问权限来触发执行。
攻击流程在入侵期间使用 Windows 服务 SessionEnv 上的 Phantom DLL 劫持技术来感染机器。
下一阶段是通过 SMB 协议检索名为 TSVIPSrv.dll 的恶意 DLL 文件,随后有效载荷与硬编码的命令和控制 (C2) 服务器建立联系。
“如果硬编码的 C2 失败,植入程序会尝试通过使用以下 URL 抓取 GitHub 用户来更新其 C2 信息:github[.]com/search?o=desc&q=pointers&s=joined&type=Users&。”
“恶意软件解析 GitHub 查询返回的 HTML,搜索仅由空格分隔的大写单词序列。它收集其中八个单词,然后仅提取 A 和 P 之间的大写字母。此过程生成一个 8 个字符的字符串,该字符串对将用于攻击的新 C2 服务器的 IP 地址进行编码。”
与 C2 服务器的初次接触为分析受感染的系统并通过套接字连接获取更多要执行的恶意软件铺平了道路。
Security Joes 表示,在检测到威胁行为后,威胁组织沉默了数周,但最终带着改进的方法卷土重来,使用 LOLBIN wmic.exe 执行修改版本的 XSL 文件(“texttable.xsl”)中存在的高度混淆的 JavaScript 代码。
研究人员解释说:“一旦启动命令 WMIC.exe MEMORYCHIP GET,它就会间接加载 texttable.xsl 文件来格式化输出,从而强制执行攻击者注入的恶意 JavaScript 代码。”
就 JavaScript 而言,它充当下载程序,使用域 time.qnapntp[.]com 作为 C2 服务器来检索后续有效负载,该有效负载对机器进行指纹识别并将信息发送回服务器,但要遵守某些过滤标准,这些标准可能仅针对威胁组织感兴趣的那些机器。
研究人员表示:“代码中真正引人注目的是故意针对 IP 地址包含子网‘10.20.22’的机器。”
“这突出显示了哪些特定设备对攻击者有价值,即子网 10.20.22[0-9].[0-255] 中的设备。通过将此信息与网络日志和找到该文件的设备的 IP 地址相关联,我们得出结论,攻击者正在使用这种过滤机制来确保只有 VPN 子网内的设备受到影响。”
技术报告:https://www.securityjoes.com/post/the-silent-game-sophisticated-threat-actors-targeting-gambling-industry
新闻链接:
https://thehackernews.com/2024/10/chinese-nation-state-hackers-apt41-hit.html
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...